Uno de los consejos más importantes en ciberseguridad es que nunca deberíamos introducir datos de acceso, contraseñas, información de tarjetas de crédito y demás si pensamos que la URL de la página en la que estamos es sospechosa. Dichos enlaces son, a veces, un signo del peligro. Si ves, por ejemplo, fasebook.com en lugar de facebook.com, dicho enlace es sospechoso.
Pero ¿y si la página web falsa se hospeda en una página legítima? Pues resulta que esta situación es posible y los malos no necesitan hackear el servidor que hospeda la página objetivo. Veamos cómo funciona.
Secuestrando y cambiando las peticiones DNS
El truco está en “trucar” las direcciones de las páginas web para que pasen a ser una extensión de la verdadera dirección IP con la que trabaja Internet. Dicha extensión se llama DNS (Domain Name System). Cada vez que introduces una dirección web en la barra de direcciones del navegador, tu computadora envía una petición al servidor DNS designado, el cual responde con la dirección del dominio que necesitas.
Por ejemplo, cuando introduces google.com, el servidor DNS devuelve la IP 87.245.200.153 (y ahí es adonde eres dirigido). En pocas palabras, así es cómo sucede:
La cuestión es que los delincuentes pueden crear su propio servidor DNS para que devuelva otra dirección IP (digamos 6.6.6.6) como respuesta a tu petición de “google.com” y dicha dirección podría hospedar una web maliciosa. Este método se conoce como secuestro de DNS.
Para que esto sea posible hay que disponer de un método que haga que una víctima utilice un servidor DNS malicioso que la lleve a una web falsa en lugar de a una legítima. Así es cómo los creadores de Switcher Trojan resolvieron el problema.
Cómo funciona Switcher
Los desarrolladores de Switcher crearon un par de aplicaciones para Android: una que imita a Baidu (una aplicación china de búsqueda, análoga de Google) y otra que se hace pasar por una aplicación de búsqueda de contraseñas wifi que ayuda a los usuarios a compartir las contraseñas de los puntos wifi públicos. Este tipo de servicio es muy popular en China.
Una vez que la aplicación maliciosa se infiltra en el smartphone conectado a una red wifi, se comunica con el servidor de mando y control e informa de que el troyano ha sido activado en una red en particular. También provee un ID a la red.
Luego, Switcher empieza a hackear el router wifi. Prueba varias credenciales de administrador para acceder a la interfaz de configuración. A juzgar por cómo funciona el troyano en esta parte, ahora mismo el método solo funciona con routers de TP-Link.
Si el troyano consigue identificarse con las credenciales correctas, va a la página de configuración del router y cambia las direcciones por defecto de los servidores DNS por otras maliciosas. Además, como DNS secundaria establece el servidor DNS de Google 8.8.8.8 para que la víctima no sospeche nada si el servidor malicioso está caído.
En la mayoría de las redes inalámbricas, los dispositivos extraen los ajustes de red (incluida la dirección del servidor DNS) de los routers para que todos los usuarios que se conectan a una red comprometida utilicen el servidor malicioso por defecto.
El troyano informa al servidor de mando y control de si ha conseguido llevar el proceso a cabo. Nuestros expertos también descubrieron esta información porque estaba insertada en la parte pública de la web.
Si las cifras de Switcher son exactas, en menos de cuatro meses el malware ha logrado infectar 1 280 redes inalámbricas cuyo tráfico generado por los usuarios ha estado a disposición de los malos.
Cómo protegerse de estos ataques
- Configura tu router de forma adecuada. En primer lugar, cambia la contraseña por defecto por una más sofisticada.
- No instales aplicaciones sospechosas en tu smartphone Android. Usa la tienda oficial de aplicaciones (aunque, por desgracia, los troyanos a veces logran colarse en ellas, pero aun así las tiendas oficiales de aplicaciones son más confiables que las no oficiales).
- Utiliza un buen antivirus en todos tus dispositivos para una protección máxima. Si no tienes uno, puedes instalarlo ahora: este es un enlace a la versión gratuita Kaspersky Antivirus & Security for Android. Nuestra solución de seguridad detecta este malware como Trojan.AndroidOS.Switcher y mantiene tu red wifi a salvo de él.