Switcher Trojanは、Androidデバイスを直接狙わず、デバイスが接続しているWi-Fiルーターに感染します。その後、DNSサーバーの設定を変更し、そのネットワークに接続しているデバイスのトラフィックを、攻撃者が管理するWebサイトにリダイレクトします。これまで1,280のWi-Fiネットワークへの不正アクセスに成功したとみられています。
~これまでに1,280のWi-Fiネットワークに侵入し、接続しているユーザーのトラフィックを偽装サイトにリダイレクト~
[本リリースは、2016年12月28日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labのリサーチャーは、注目すべき新たなAndroid向けトロイの木馬「Switcher Trojan」を発見しました。Switcher Trojanは、Androidデバイスを直接狙わずにデバイスが接続しているWi-Fiルーターを攻撃し、無警戒なAndroidユーザーを感染させる手段をとっています。Wi-Fiルーターに感染後、ルーターのDNSサーバーの設定を変更し、そのネットワークに接続しているデバイスからのトラフィックを、攻撃者が管理するWebサイトにリダイレクトします。これによりユーザーは、フィッシング、マルウェア、アドウェア攻撃などの危険にさらされます。
DNSは、「x.com」などの判読可能なWebアドレスをコンピューター間の通信で必要なIPアドレスに変換しますが、攻撃者はSwitcher Trojanの機能によってこのプロセスを乗っ取り、インターネットトラフィックなど、名前解決の仕組みを利用するネットワーク活動をほぼ完全に掌握します。Wi-Fiルーターは通常、ネットワーク内のすべてのデバイスのDNS設定を独自の設定に再構成するため、全デバイスが強制的に同じ不正DNSを使用することになり、このようなアプローチが機能します。
Switcher Trojanは、攻撃者が作成したWebサイトにアクセスすることでダウンロードされ感染します。種類は2つで、中国の検索エンジン「Baidu」のAndroidアプリに偽装したものと、Wi-Fiネットワークに関する情報を共有する中国の人気アプリ「WiFi Master Key」を偽装したものがあります。感染したデバイスがWi-Fiネットワークに接続すると、Switcher Trojanがルーターを攻撃し、パスワードとログインIDの組み合わせを予め定義したリストを使用して、ルーターのWeb管理インターフェイスへのアクセスを総当たり攻撃で割り出します。不正アクセスが成功すると、Switcher Trojanは既存のDNSサーバーを攻撃者が管理する不正なDNSサーバーに置き換え、セカンダリDNSサーバーも設定します。これにより、不正なプライマリDNSがダウンしても稼働を続けられるようにしています。
攻撃者は、Switcher Trojanに感染させるために偽装したアプリをユーザーに配信するためのWebサイトを作成しますが、サイトをホストするWebサーバーには攻撃者の指令(C&C)サーバーとしての機能もあります。このWebサイトで見つかった感染の統計情報によると、攻撃者はこれまでに主に中国の1,280にもおよぶWi-Fiネットワークへの不正アクセスに成功したとみられます。これらのネットワークに接続できるすべてのデバイスが、さらなる攻撃と感染にさらされている可能性があります。
Kaspersky Labのマルウェアアナリストであるニキータ・ブーチカ(Nikita Buchka)は次のように述べています。「Switcher Trojanは、コネクテッドデバイスとネットワークに対する攻撃の新しい危険なトレンドを生み出しています。ユーザーを直接攻撃せず、犯罪に加担する気のないユーザーを共犯者に変え、感染源を物理的に移動させるのです。Switcher Trojanは、ネットワーク全体を標的とし、個人か企業かを問わずすべてのユーザーを、フィッシングから二次感染まで幅広い攻撃にさらします。成功した攻撃の検知は困難な場合もあり、除去はさらに難しいこともあります。ルーターを再起動しても新しい設定は残り、不正なDNSが無効になったとしても、用意されているセカンダリDNSサーバーが処理を引き継ぐからです。デバイスの保護はかつてないほど重要になっていますが、接続された世界においては、ルーターやWi-Fiネットワークの脆弱性も見落とすわけにはいきません」
Kaspersky Labはすべてのユーザーに対し、DNS設定を確認して、以下の不正DNSサーバーを検索するように推奨しています。
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
DNS設定にこれらのサーバーのいずれかがある場合、インターネットサービスプロバイダー(ISP)のサポートに問い合わせるか、Wi-Fiネットワークの所有者に警告する必要があります。また、弊社はこのような攻撃を未然に防ぐために、ルーターの管理Webインターフェイスの初期設定のログインIDとパスワードを変更することを強く推奨します。
Switcher Trojanの詳細については、Securelistのブログ記事をご覧ください。