Einer der wichtigsten Hinweise bezüglich Cybersicherheit ist, dass Sie niemals Logins, Passwörter, Kreditkarteninformationen, usw. eingeben sollten, wenn Sie denken, dass die Seiten-URL verdächtig aussieht. Merkwürdige Links weisen manchmal auf eine Gefahr hin. Sollten Sie z. B. fasebook.com statt facebook.com sehen, dann ist dieser Link verdächtig.
Aber was ist, wenn die falsche Seite auf einer legitimen Seite gehostet ist? Es stellt sich heraus, dass dieses Szenarium sehr plausible ist – und Kriminelle müssen den Server, der die Zielseite hostet, nicht einmal hacken. Werfen wir einen Blick darauf, wie das funktioniert.
Experten von Kaspersky Lab fanden ein Exemplar einer Android-Malware, das die Einstellungen eines WLAN-Routers ändert.
Tweet
Hijacking und dann Änderung der DNS-Anfragen
Der Trick hierbei ist, dass die normalaussehenden Webseiten Ad-Ons zu echten IP-Adressen sind, mit denen das Internet arbeitet. Dieses Ad-On nennt sich DNS — das Domain Name System. Jedes Mal, wenn Sie eine Webseiten-Adresse in die Adressleiste des Browsers eingeben, sendet Ihr Computer eine Anfrage an einen bestimmten DNS-Server, der die Adresse der benötigten Domain zurücksendet.
Wenn Sie z. B. google.com eingeben, gibt der jeweilige DNS-Server die IP-Adresse 87.245.200.153 zurück — dahin werden Sie weitergeleitet. Das ist, kurz gefasst, wie so etwas geschieht:
Die Sache ist die, dass Kriminelle ihren eigenen DNS-Server erstellen können, der eine andere IP-Adresse (z. B. 6.6.6.6) als Antwort auf Ihre Anfrage „google.com“ zurückgibt, und diese Adresse kann eine schädliche Webseite hosten. Diese Methode nennt sich DNS-Hijacking.
Nun, der Erfolg hängt von einer Methode ab, mit der das Opfer einen schädlichen DNS-Server nutzt, der es statt zu einer legitimen zu einer falschen Webseite weiterleitet. Hier finden Sie, wie die Entwickler des Trojaners Switcher dieses Problem lösten.
Wie Switcher funktioniert
Die Entwickler von Switcher erstellten mehrere Android-Apps, von denen eine Baidu imitiert (eine chinesische App zur Websuche, analog zu Google), und eine andere, die vorgibt, eine öffentliche WLAN-Passwort-Suchanwendung zu sein, mit der User Passwörter von öffentlichen Hotspots teilen können; diese Art von Dienst ist in China ebenfalls sehr beliebt.
Sobald die schädliche App in das mit einem WLAN-Netzwerk verbundene Smartphone eingedrungen ist, kommuniziert es mit einem Command-and-Control- (C&C-) Server und berichtet, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde. Es stellt auch eine Netzwerk-ID bereit.
Dann beginnt Switcher damit, den WLAN-Router zu hacken. Er testet verschiedene Anmeldedaten, um sich in die Einstellungsschnittfläche einzuloggen. Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden.
Gelingt es dem Trojaner, die richtigen Anmeldedaten zu identifizieren, geht er zu der Einstellungsseite des Routers und ändert die legitime Standard-DNS-Serveradresse zu einer schädlichen. Die Malware setzt auch einen legitimen Google-DNS-Server als sekundäre DNS-Adresse auf 8.8.8.8, um das Opfer zu beschwichtigen, sollte der schädliche DNS-Server nicht funktionieren.
In den meisten drahtlosen Netzwerken erhalten die Geräte ihre Netzwerkeinstellungen (einschließlich der Adresse des DNS-Servers) von Routern, also benutzen alle User, die sich mit einem infizierten Netzwerk verbinden, standardmäßig den schädlichen DNS-Server.
Der Trojaner berichtet dem C&C-Server von seinen Erfolgen. Unsere Experten, die ihn fanden, waren froh, Statistiken zu erfolgreichen Angriffen zu entdecken, die sorglos im öffentlichen Teil der Webseite herumlagen.
Wenn die Zahlen von Switcher stimmen, hat es die Malware in weniger als vier Monaten geschafft, 1.280 drahtlose Netzwerke zu infizieren, mit all den Nutzer von solchen Hotspots, die den Kriminellen zur Verfügung stehen.
Wie Sie sich gegen diese Angriffe schützen
1. Verwenden Sie die richtigen Einstellungen des Routers. Ändern Sie zunächst das Standardpasswort zu einem anspruchsvolleren.
2. Installieren Sie keine verdächtigen Apps auf Ihrem Android-Smartphone. Bleiben Sie beim offiziellen App-Store – obwohl Trojaner unglücklicherweise von Zeit zu Zeit einen Weg hinein finden, sind offizielle App-Stores weit verlässlicher als inoffizielle.
3. Nutzen Sie einen robusten Antivirus auf all Ihren Geräten, um maximalen Schutz zu gewähren. Sollte das bei Ihnen nicht der Fall sein, können Sie genau jetzt einen installieren: Hier ist ein Link zur kostenlosen Version von Kaspersky Antivirus & Security für Android. Unser Antivirus-Produkt erfasst diese Malware als Trojan.AndroidOS.Switcher und schützt Ihr WLAN-Netzwerk vor ihm.