Kaspersky รายงานพบมัลแวร์ Android ที่ติดแล้วเจาะ Wi-Fi Router อีกต่อหนึ่งKaspersky รายงานพบมัลแวร์ตัวใหม่บน Android ที่ออกแบบมาเพื่อเจาะ Wi-Fi router อีกทอดหนึ่ง มัลแวร์ตัวนี้ถูกตั้งชื่อว่า Switcher
รูปแบบการโจมตีของ Switcher จะแบ่งเป็น 2 ขั้นตอน ขั้นแรกคือปลอมตัวเป็นแอพปลอมเพื่อหลอกล่อให้ผู้ใช้ติดตั้งลงในอุปกรณ์ (ปัจจุบันพบว่าปลอมเป็นแอพ 2 ตัวคือแอพ Baidu ปลอม และ WiFi Master แอพสำหรับแลกเปลี่ยนรหัสผ่าน Wi-Fi ของจีน) เมื่อผ่านขั้นแรกมาได้แล้ว มัลแวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ โดยส่งข้อมูลของเครือข่าย Wi-Fi กลับไปด้วย
จากนั้น Switcher จะเริ่มแฮ็กตัว router โดยทดลองล็อกอินด้วยรหัสผ่านพื้นฐาน ถ้าหากเจาะสำเร็จ มัลแวร์จะเข้าไปแก้ค่า DNS ของเราเตอร์เพื่อส่งทราฟฟิกไปยังเว็บปลอมอีกทอดหนึ่ง ที่ร้ายกาจคือมัลแวร์จะตั้งค่า DNS สำรองเป็น Google DNS (8.8.8.8) ซึ่งถือเป็นการพรางตัวกรณี DNS ปลอมไม่ถูกใช้งาน ผู้ใช้ก็จะไม่สงสัยอะไรเพราะใช้งานทุกอย่างได้ตามปกติ
หมายเลขไอพีของ DNS ปลอมที่พบได้แก่
101.200.147.153
112.33.13.11
120.76.249.59
Kaspersky พบว่า Switcher ยังเจาะได้เฉพาะ router ยี่ห้อ TP-Link เท่านั้น และมีข้อมูลว่าที่ผ่านมา 4 เดือน เจาะเครือข่ายไปแล้ว 1,280 แห่ง
คำแนะนำของ Kaspersky ในการป้องกันตัวก็คืออย่าใช้รหัสผ่านดีฟอลต์ของ Wi-Fi router, อย่าติดตั้งแอพที่ไม่รู้จัก
ที่มา - Securelist, Kaspersky
อ้างอิง:https://www.blognone.com
ณ 29/12/2016