9

“ WiFi 万能钥匙”仿冒软件可更改路由设置、劫持网络 DNS 流量

  • 浏览次数 3441
  • 喜欢 0
  • 评分 12345

卡巴斯基实验室报道,研究员发现了两个特别的 Android 木马版本,它们并非对用户设备进行攻击、窃取信息,而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码,并更改路由器设置中的 DNS 服务器地址,最终劫持流量重定向至恶意网站。

两种木马

acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com
64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi

木马( com.baidu.com )伪装成百度安卓客户端,另外一个木马伪装成“ WiFi 万能钥匙”
wechatimg137

为了增加可信度,网络犯罪分子甚至创建了一个网站用于传播恶意软件,并将软件命名为“ WiFi 万能钥匙显密码版”,宣称为用户提供明文密码方便电脑连接网络。

wechatimg3

执行过程

1、获取网络 BSSID 并与 C&C 服务器进行通信。
2、获取互联网服务提供商名称,并选择用于劫持路由器的 DNS 地址。

三种 DNS 服务器地址
101.200.147.153 (作为默认选择)
112.33.13.11
120.76.249.59

3、使用词典暴力破解路由器 Web 管理界面的用户名和密码。
如: admin:admin;admin:123456;
根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看,目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。
4、更改路由器 DNS 设置劫持网络流量。

4

正常的 DNS 查询

5

被劫持的 DNS 查询

影响范围
路由器设置被篡改,受影响的不再是个体,所有连接 WiFI 网络的设备都将受影响。
从网络罪犯分子的 C&C 网站的统计结果可知至少有 1280 台路由器受影响,受害者主要在中国地区。

6

解决办法
1、查看路由器 DNS 设置,是否存在以下流氓 DNS 服务器地址。

101.200.147.153
112.33.13.11
120.76.249.59

2、Web管理界面不要采用默认用户名和密码,以防止此类攻击发生。

稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。