Trojan Switcher : un commutateur qui pirate un routeur WLAN et modifier un DNS

L'un des conseils les plus importants, en matière de cyber sécurité, est que vous ne devez jamais entrer de logins, de mots de passe, d'informations sur les cartes de crédit, etc. Surtout, si vous pensez que l'adresse URL du site semble suspecte. Parce que des liens étranges indiquent parfois un danger. Par exemple, si vous voyez fasebook.com au lieu de facebook.com, ce lien est suspect.

Mais que se passe-t-il si le mauvais site est hébergé sur un site légitime ? Il s'avère que ce scénario est très plausible ? Parce que, dans ce cas, les criminels n'ont même pas besoin de pirater le serveur qui héberge la page cible. Voyons comment cela fonctionne.

Détournement puis modification des requêtes DNS

L'astuce est que les pages web d'apparence normale sont des additions aux adresses IP réelles, avec lesquelles, l'Internet fonctionne. Cette publicité est appelée DNS ou le système de noms de domaine. Chaque fois que vous tapez l'adresse d'une page web, dans la barre d'adresse du navigateur, votre ordinateur envoie une requête à un serveur DNS spécifique. Et ce dernier qui vous renvoie ensuite l'adresse du domaine dont vous avez besoin.

Par exemple, si vous entrez sur google.com, le serveur DNS correspondant, il vous renvoie l'adresse IP 87.245.200.153. Cela veut dire que c'est à cette adresse IP que vous serez redirigé. Voilà, en un mot, comment une telle chose se produit : Le fait est que les criminels peuvent créer leur propre serveur DNS qui renvoie une adresse IP différente (par exemple 6.6.6.6) en réponse à votre requête "google.com". De plus, cette adresse peut héberger une page web malveillante. C’est cette méthode qu’on appelle "détournement de DNS".

Eh bien, le succès dépend d'une méthode par laquelle la victime utilise un serveur DNS malveillant qui la redirige vers un faux site web au lieu d'un site légitime. Vous pouvez lire ici comment les développeurs du Trojan Switcher ont résolu ce problème.

Comment fonctionne Switcher ?

Les développeurs de Switcher ont créé plusieurs applications Android, dont l'une imite Baidu : une application chinoise de recherche sur le web, analogue à Google, et une autre qui se veut une application publique de recherche de mots de passe sur un réseau local sans fil. Cette dernière permet aux utilisateurs de partager des mots de passe à partir de points d'accès publics. En outre, ce type de service est également très populaire en Chine.

Une fois que l'application malveillante a pénétré dans le smartphone connecté à un réseau WLAN, elle communique avec un système de commande et de contrôle. C’est là que Switcher commence à pirater le routeur WLAN. Il teste différents identifiants pour se connecter à l'interface de paramétrage. À en juger par le fonctionnement du cheval de Troie, la méthode ne fonctionne actuellement que si des routeurs TP-Link sont utilisés.

Dans la plupart des réseaux sans fil, les appareils obtiennent leurs paramètres réseau, y compris l'adresse du serveur DNS, des routeurs. Par conséquent, par défaut, tous les utilisateurs, en se connectant à un réseau infecté, utilisent le serveur DNS malveillant.

Si les chiffres de Switcher sont corrects, en moins de quatre mois, le malware a réussi à infecter 1 280 réseaux sans fil. Ainsi, tous les utilisateurs de ces hotspots étant à la disposition des criminels.

Le cheval de Troie relève de la C

Si le cheval de Troie parvient à identifier les bons identifiants, il se rend sur la page des paramètres du routeur et modifie l'adresse légitime du serveur DNS par défaut en une adresse malveillante. Le logiciel malveillant fixe également un serveur DNS Google légitime comme adresse DNS secondaire à 8.8.8.8, afin de calmer la victime si le serveur DNS malveillant ne fonctionne pas.

Comment se protéger contre ces attaques ?

Pour se protéger, voilà quelques conseils à suivre :

Utiliser les paramètres corrects du routeur. Commencez par changer le mot de passe par défaut pour un mot de passe plus sophistiqué.

N'installez aucune application suspecte sur votre smartphone Android. Tenez-vous en à l'app-store officiel bien que les chevaux de Troie trouvent malheureusement un moyen d'y entrer de temps en temps. Aussi, les app-stores officiels sont bien plus fiables que les non officiels.

Utiliser un antivirus robuste sur tous vos appareils pour assurer une protection maximale. Et  si vous ne l’avez  pas fait, vous pouvez en installer un dès maintenant, comme la version gratuite de Kaspersky Antivirus, par exemple.