{"id":9544,"date":"2016-12-28T17:15:16","date_gmt":"2016-12-28T17:15:16","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=9544"},"modified":"2019-11-22T11:15:56","modified_gmt":"2019-11-22T09:15:56","slug":"switcher-trojan-attacks-routers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/switcher-trojan-attacks-routers\/9544\/","title":{"rendered":"Switcher, il Trojan che hackera il router Wi-Fi"},"content":{"rendered":"

Il consiglio di cybersicurezza pi\u00f9 importante che vi possiamo dare \u00e8 il seguente: mai inserire login, password, informazioni di carte di credito e cos\u00ec via se l\u2019URL \u00e8 sospetta. I link strani sono molto spesso sinonimo di pericolo. Se vedete per esempio, fasebook.com<\/em> al posto di facebook.com<\/em>, quello \u00e8 un link strano e sospetto.<\/p>\n

E che succederebbe se la pagina web falsa fosse allocata sulla pagina legittima<\/em>? Di fatto si tratta di una possibilit\u00e0 del tutto plausibile, e gli hacker non avrebbero nemmeno bisogno di hackerare il server che ospita la pagina cercata dalla vittima. Scopriamo insieme come funziona.<\/p>\n

Hijacking e il reindirizzamento della richieste DNS<\/strong><\/h3>\n

L\u2019inganno sta nel \u2018truccare\u2019 i normali indirizzi web, che finiscono per essere un add-on del vero indirizzo IP di cui Internet si serve. Questo add-on viene chiamato DNS (Domain Name System) in italiano sistema dei nomi di dominio. Ogni volta che inserite un indirizzo web nella barra del browser, il vostro computer invia una richiesta al server DNS designato che, in risposta, rinvia a sua volta l\u2019indirizzo del dominio di cui si aveva bisogno.<\/p>\n

Per esempio, quando inserite google.com<\/em>, il rispettivo server DNS risponde con l\u2019indirizzo IP 87.245.200.153, che \u00e8 per l\u2019appunto l\u2019indirizzo a cui si verr\u00e0 reindirizzati. In poche parole, ecco quello che succede.<\/p>\n

<\/p>\n

The thing is, malefactors can create their own DNS server that returns another<\/em> IP address (say, 6.6.6.6) in response to your \u201cgoogle.com\u201d request, and that<\/em> address might host a malicious website. This method is called DNS hijacking.<\/p>\n

Il fatto \u00e8 che i ladri possono creare il proprio server DNS capace di ridirezionare verso un altro indirizzo<\/em> IP (per esempio, 6.6.6.6) in risposta alla vostra richiesta di raggiungere il sito google.com<\/em>; e quell\u2019indirizzo pu\u00f2 allocare un sito web dannoso. Questo metodo di attacco \u00e8 chiamato DNS hijacking<\/em> (in italiano, a volte chiamato anche reindirizzamento DNS).<\/p>\n

<\/p>\n

Ora quello che bisognava trovare era un metodo che spingesse la vittima ad usare un server DNS dannoso che lo avrebbe reindirizzato verso un sito web falso, piuttosto che verso quello legittimo. Ecco come i creatori di Switcher Trojan hanno risolto questo problema.<\/p>\n

Come funziona Switcher<\/strong><\/h3>\n

Gli sviluppatori di Switcher hanno creato un paio di app per Android, una delle quali imita Baidu (un\u2019app per web search<\/em>, analogo a Google) e un\u2019altra che si spaccia per un\u2019app per la ricerca di password per Wi-Fi pubblico, che aiuta gli utenti a condividere le password per hotspot gratuiti. Questo genere di servizi sono piuttosto popolari in Cina.<\/p>\n

Una volta che un\u2019app dannosa si infiltra nello smartphone della vittima connesso ad una rete Wi-Fi, inizia a comunicare con il server C&C (command-and-control) e avvisa che il Trojan \u00e8 stato attivato in una particolare network. Inoltre fornisce un network ID.<\/p>\n

Poi Switcher inizia a hackerare il router Wi-Fi. Testa diverse credenziali admin per entrare nell\u2019interfaccia delle impostazioni. A giudicare dal modo in cui lavora il Trojan, ora il metodo funziona solo con i router TP-link.<\/p>\n

Se il Trojan riesce a identificare le credenziali giuste, entra nella pagina delle impostazioni del router e cambia l\u2019indirizzo del server DNS predeterminato e legittimo con quello dannoso. Inoltre, il malware imposta un server Google DNS legittimo sull\u2019indirizzo 8.8.8.8 come DNS secondario. In questo modo se il server DNS dannoso smettesse di funzionare temporaneamente, la vittima non se ne accorgerebbe.<\/p>\n

<\/p>\n

Sulla maggior parte delle reti wireless, i dispositivi ottengono le impostazioni di rete (tra cui anche l\u2019indirizzo del server DNS) dai router, quindi tutti gli utenti che si connettono ad una rete compromessa useranno il server DNS dannoso predeterminato.<\/p>\n

Il Trojan poi informa il server C&C del suo operato e dei suoi successi. \u00c8 anche grazie a queste informazioni che i nostri esperti sono riusciti a scoprire il Trojan: hanno trovato le statistiche degli attacchi di successo nella parte pubblica del sito web, lasciate l\u00ec con noncuranza, ed accessibili a tutti.<\/p>\n

<\/p>\n

Se i numeri di Switcher sono giusti, in meno di 4 mesi, il malware \u00e8 riuscito a infettare 1.280 reti wireless, e tutto il traffico utente proveniente da quegli hotspot era a disposizione dei criminali.<\/p>\n

Come proteggersi contro questi attacchi<\/strong><\/h3>\n

1. Configurate correttamente il router<\/a>. Prima di tutto, cambiare la password predeterminata con una pi\u00f9 sofisticata.<\/p>\n

2. Non installate app sospette sui vostri smartphone Android. Scaricate solo app dallo store ufficiale: a volte i Trojan riescono comunque ad infiltrarsi<\/a>, ci\u00f2 nonostante le app ufficiali sono sempre molto pi\u00f9 affidabili di quelle non ufficiali.<\/p>\n

3. Per una protezione massima, usate un antivirus robusto su tutti i vostri dispositivi. Se ancora non ne avete uno, potete installarne uno proprio ora: qui trovate il link alla versione gratuita di Kaspersky Antivirus & Security for Android<\/u><\/a>. La nostra soluzione di sicurezza individua il malware di cui abbiamo parlato oggi, Trojan.AndroidOS.Switcher, e protegge la vostra rete Wi-Fi.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kaspersky Lab ha scoperto un Trojan per Android poco convenzionale: non fa alcun danno al vostro smartphone, ma hackera il Wi-Fi a cui si connette lo smartphone. <\/p>\n","protected":false},"author":421,"featured_media":9546,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[2294,897,736,2293,441,49],"class_list":{"0":"post-9544","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-dns","10":"tag-hackeraggio","11":"tag-router","12":"tag-switcher","13":"tag-trojan","14":"tag-wi-fi"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/switcher-trojan-attacks-routers\/9544\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/5811\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/10628\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/8754\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/switcher-trojan-attacks-routers\/9808\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/switcher-trojan-attacks-routers\/6477\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/switcher-trojan-attacks-routers\/7100\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/switcher-trojan-attacks-routers\/5884\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/switcher-trojan-attacks-routers\/9440\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/switcher-trojan-attacks-routers\/13538\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/switcher-trojan-attacks-routers\/13771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/dns\/","name":"DNS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9544","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=9544"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9544\/revisions"}],"predecessor-version":[{"id":18786,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9544\/revisions\/18786"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/9546"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=9544"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=9544"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=9544"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}