Τεχνολογία: Νέα τεχνική από τον ιό Switcher για Android

Οι χάκερ πάντα προσπαθούν να βρίσκουν νέους τρόπους για εκμετάλλευση ευπαθειών ασφαλείας αλλά μερικές φορές τα αποτελέσματα είναι αρκετά εντυπωσιακά. Πρόσφατα, τη Τετάρτη 28 Δεκεμβρίου του 2016, ο ερευνητής των εργαστηρίων Kaspersky, κύριος Νικίτα Μπούτσκα ανακάλυψε ένα νέο ιό που κυκλοφορεί για κινητά τηλέφωνα Android και αυτό θα δούμε σε αυτό το άρθρο.

Πηγή: TechnoDeer.com
Πηγή: TechnoDeer.com

Φαίνεται ότι ο ιός είναι στοχευμένος για τη Κίνα αλλά συχνά οι τεχνικές αυτές γίνονται αρκετά δημοφιλείς και υιοθετούνται από χάκερ πολύ γρήγορα. Τα εργαστήρια της εταιρίας Kaspersky έχουν μέχρι σήμερα παρατηρήσει δύο παραλλαγές του ιού που αποκαλούν Switcher. Είναι ένα Trojan (δηλαδή ένα κακόβουλο πρόγραμμα κρυμμένο μέσα σε μία πραγματική εφαρμογή) και γι’αυτό το αναγνωριστικό όνομα που του έδωσαν είναι Trojan.AndroidOS.Switcher.

Πηγή: Blog.Kaspersky.com
Πηγή: Blog.Kaspersky.com

Η πρώτη έκδοση του ήταν κρυμμένη σε μία εφαρμογή για αναζήτηση στη πιο μεγάλη μηχανή αναζήτησης της Κίνας, στη Baidu. Η δεύτερη έκδοση ήταν κρυμμένη σε μία πολύ δημοφιλή εφαρμογή στη Κίνα που ονομάζεται WiFi Locating και χρησιμοποιείται για διαμοιρασμό στοιχείων πρόσβασης σε διάφορα δίκτυα ασύρματης επικοινωνίας (WiFi). Βλέπετε παρακάτω αριστερά την εφαρμογή αναζήτησης της Baidu και δεξιά την εφαρμογή WiFi Locating όπου και οι δύο είχαν κρυμμένο το πρόγραμμα εκμετάλλευσης Trojan.AndroidOS.Switcher.

Πηγή: SecureList.com
Πηγή: SecureList.com

Οι χάκερ κατασκεύασαν και μία σελίδα αντίγραφο της εφαρμογής WiFi Locating η οποία μάλιστα ήταν και αυτή που είχε τον εξυπηρετητή C&C (Command & Control, Διοίκησης & Ελέγχου) του κακόβουλου λογισμικού. Δηλαδή, όταν κάποιος χρήστης εγκαθιστούσε την εφαρμογή, κρυφά εκτελούνταν ο ιός Trojan.AndroidOS.Switcher ο οποίος συνδέονταν σε αυτή τη σελίδα και ενημέρωνε τον χάκερ ότι η συσκευή είναι υπό τον έλεγχο του και στη συνέχεια εκτελούσε ότι εντολές του στέλνονταν. Βλέπετε τη σελίδα αυτή παρακάτω.

Πηγή: SecureList.com
Πηγή: SecureList.com

Μέχρι αυτό το σημείο τίποτα δε διαφέρει από ένα συμβατικό ιό τύπου trojan για έξυπνες συσκευές κινητής τηλεφωνίας. Αυτό που κάνει στη συνέχεια όμως αυτός ο ιός τον κάνει πολύ ξεχωριστό. Όταν συνδεόμαστε σε ένα οποιοδήποτε δίκτυο πρόσβασης στο διαδίκτυο (ενσύρματο ή ασύρματο) η συσκευή μας λαμβάνει κάποιες ρυθμίσεις για τους εξυπηρετητές DNS (Domain Name System, Σύστημα Ονομάτων Τομέων). Αυτό είναι δομικό στοιχείο του διαδικτύου καθώς κάθε αίτημα που κάνουμε για να επικοινωνήσουμε στο διαδίκτυο περνάει από εκεί. Για παράδειγμα, όταν θέλουμε να επισκεφθούμε τη σελίδα defensegr.wordpress.com τότε η συσκευή μας ρωτάει τον εξυπηρετητή DNS που μπορεί να βρει αυτή τη σελίδα, και αυτός της προσφέρει τη διεύθυνση για να μπορέσει να τη βρει. Μπορείτε να φανταστείτε το DNS ως το τηλεφωνικό κατάλογο του διαδικτύου. Βλέπετε μία σχηματική αναφορά παρακάτω.

Πηγή: Προσωπικό αρχείο
Πηγή: Προσωπικό αρχείο

Άρα, αν κάποιος ελέγχει το DNS πρακτικά ελέγχει όλες τις σελίδες που επισκέπτεται ο χρήστης. Μπορεί για παράδειγμα όταν το ρωτάμε για το που βρίσκεται το https://www.google.com να μας επιστρέψει κάτι άλλο. Αυτή η τεχνική επίθεσης ονομάζεται DNS hijacking (απαγωγή DNS) και θα δείτε αμέσως το που σχετίζεται αυτό με τον ιο Trojan.AndroidOS.Switcher. Όταν ο ιός εντοπίσει ότι η συσκευή στην οποία εκτελείται είναι συνδεδεμένη σε ένα ασύρματο δίκτυο (WiFi), θα προσπαθήσει με επίθεση bruteforce (ωμή δύναμη, δηλαδή δοκιμάζοντας όλους τους συνδυασμούς κωδικού πρόσβασης) να πάρει πρόσβαση ως διαχειριστής στο τοπικό δρομολογητή (router) του δικτύου. Σκεφτείτε το ως το DSL router που έχουν οι περισσότεροι χρήστες στα σπίτια τους. Όλοι αυτοί οι δρομολογητές (routers) έχουν κάποια σελίδα ρύθμισης δικτύου όπου υπάρχει και η ρύθμιση του εξυπηρετητή DNS η οποία κατά κανόνα είναι αυτόματη. Με ένα απλό κώδικα όπως αυτός που βλέπετε παρακάτω, ο ιός πηγαίνει εκεί και αλλάζει τις ρυθμίσεις εξυπηρετητή DNS ώστε όλα τα αιτήματα να πηγαίνουν σε έναν εξυπηρετητή που ελέγχει ο χάκερ. Δηλαδή, κάνει το DNS hijacking που περιγράψαμε παραπάνω. Έτσι, οποιαδήποτε συσκευή συνδέονταν στο διαδίκτυο μέσω αυτού του router θα λαμβάνει κακόβουλες, ψεύτικες, σελίδες για υπηρεσίες όπως η Google και το Facebook που περιέχουν ιούς για πλήρη μόλυνση ολόκληρου του δικτύου που βρίσκεται πίσω από αυτό το δρομολογητή.

Πηγή: Kaspersky.com
Πηγή: Kaspersky.com

Φυσικά, όλα αυτά ο ιός Switcher τα κάνει απόλυτα αυτοματοποιημένα και είναι κάτι που δεν το έχουμε ξαναδεί. Δηλαδή, έναν ιό κινητών τηλεφώνων να ακολουθεί αυτή τη τακτική για μεγαλύτερη μόλυνση προσφέροντας στο διαχειριστή του περισσότερα συστήματα που μπορεί να χρησιμοποιήσει είτε για άλλες επιθέσεις, είτε για υποκλοπή δεδομένων, ή για άλλες εγκληματικές δραστηριότητες. Παρακάτω βλέπετε ακόμα μία σχηματική αναπαράσταση του πως ο κανονικός εξυπηρετητής DNS (πράσινο χρώμα) αντικαθίσταται με τον κακόβουλο (κόκκινο) και πως ένα αίτημα για το https://www.google.com καταλήγει σε ένα σύστημα που ελέγχει ο χάκερ και παρότι μοιάζει με το Google, περιλαμβάνει κακόβουλο λογισμικό για μόλυνση των συστημάτων που θα επισκεφθούν αυτή τη σελίδα.

Πηγή: SecureList.com
Πηγή: SecureList.com

Πολύ ενδιαφέρουσα προσέγγιση και είναι σίγουρο ότι θα δούμε περισσότερους ιούς να χρησιμοποιούν αυτή τη τακτική στο μέλλον. Για αυτό θεωρήσαμε σωστό να το μοιραστούμε με τους αναγνώστες μας έτσι ώστε να είναι ενήμεροι για τις τελευταίες απειλές στο χώρο. Προφανώς, η προστασία είναι να μην εγκαθιστούμε εφαρμογές από μη εξουσιοδοτημένες πηγές και ποτέ εάν δεν είμαστε σίγουροι για την αξιοπιστία τους.

Γράψτε τα σχόλια σας εδώ...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s