นักวิจัยด้านความปลอดภัยของ Kaspersky ค้นพบมัลแวร์ตัวใหม่บนแอนดรอยด์ ที่ร้ายกาจถึงขนาดเข้าควบคุมเราท์เตอร์ ทำการแก้ไขข้อมูล DNS เพื่อรีไดเรกต์ทุกคนภายใต้เราท์เตอร์ดังกล่าวไปยังเว็บไซต์อันตรายที่ต้องการ โดยมัลแวร์ตัวนี้มีชื่อตามพฤติกรรมของมันว่า “Switcher”
นอกจากนี้ สัปดาห์ก่อนนักวิจัยจาก Proofpoint ยังพบมัลแวร์ที่โจมตีในลักษณะเดียวกันนี้ แต่ทำงานบนพีซีแทน มัลแวร์นี้ชื่อว่า Stegano
กลับมาที่โทรจัน Switcher ที่แฮ็กเกอร์กำลังนำมาใช้ในรูปแอพบนแอนดรอยด์ที่ปลอมเป็นแอพของเซิร์สเอนจิ้นจีนชื่อดัง Baidu และแอพจีนที่ใช้สำหรับแชร์ข้อมูลเครือข่าย Wi-Fi ของตัวเอง (com.snda.wifilocating)
โทรจันนี้ใช้จาวาสคริปต์ในการล็อกอินเข้าเราท์เตอร์ด้วยการเดารหัสผ่านหรือ Brute-Force ซึ่งโค้ดนี้ ตอนนี้ ทำงานได้เฉพาะบนหน้าเว็บเข้าระบบของเราท์เตอร์ยี่ห้อ TP-LINK เท่านั้น ซึ่งเมื่อล็อกอินเข้าไปยังส่วนการตั้งค่าเราท์เตอร์ได้ ก็จะเปลี่ยนเลขไอพีของ DNS เป็น 101.200.147.153, 112.33.13.11, และ 120.76.249.59 แทน ซึ่งเป็น DNS ปลอมที่รีไดเรกต์ผู้ใช้เราท์เตอร์ไปยังเว็บอันตรายแทน
อย่างที่เคยแนะนำมาตลอดว่า ผู้ใช้แอนดรอยด์ควรดาวน์โหลดแอพจาก Play Store ทางการของกูเกิ้ลเท่านั้น รวมทั้งควรเปลี่ยนรหัสผ่านดีฟอลต์ของหน้าควบคุมเราท์เตอร์ด้วย
ที่มา : http://thehackernews.com/2016/12/android-dns-malware.html
