Recientemente se detectó una evolución notable en el malware que ataca a Android: el troyano Switcher, que aprovecha los dispositivos que utilizan este sistema operativo para comprometer los ruteadores de las redes WiFi, alertó Kaspersky Lab.
Switcher tambien puede cambiar la configuración DNS de los ruteadores y redirigir el tráfico de todos los dispositivos conectados a la red hacia sitios web controlados por los atacantes, dejando así a los usuarios vulnerables a ataques de phishing, malware y adware.
Los atacantes afirman haber infiltrado hasta ahora 1,280 ruteadores inalámbricos con éxito, principalmente en China.
El método de este ataque funciona porque los ruteadores inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios Web maliciosos sin consentimiento alguno.
La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu, y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi: Wi-Fi 万能 钥匙.
Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y abre la interfaz de administración web intentando acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios.
Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.