Android-Malware ändert DNS-Server im heimischen Router


In den vergangenen Jahren sind einige neue Malware-Vertreter aufgetaucht, die nicht einen einzelnen Computer oder ein Mobilgerät angreifen, sondern den Router. Diese Methode ist natürlich deutlich effektiver, da auf diese Weise gleich alle Zugriffe eines ganzen Netzwerks manipuliert werden können. In der Regel verändert die Schadsoftware im Router die Adresse des DNS-Servers, so dass alle verbundenen Geräte auf Websites mit unseriösen Angeboten oder Schadcode oder auch auf Phishing-Sites umgeleitet werden.

Von dieser Art ist auch eine neue Malware namens Trojan.AndroidOS.Switcher oder kurz Switcher, die von Kaspersky Labs beschrieben wird. Obwohl sie es vornehmlich auf chinesische Nutzer abgesehen hat, sei sie an dieser Stelle dennoch kurz vorgestellt, da das Angriffsmuster recht typisch ist.

In China führt der Google Play Store für Android ausschließlich kostenlose Apps ohne In-App-Verkäufe. Viele chinesische Anwender nutzen daher alternative App-Stores, in denen die angebotene Software jedoch wenig bis gar keiner Kontrolle unterliegen. Von dort aus verbreiteten sich in den vergangenen Monaten zwei neue Android-Apps. Die eine behauptete, ein mobiler Client für die chinesische Suchmaschine Baidu zu sein, die andere stellte sich als Suchmaschine für die Passwörter von WLAN-Hotspots vor. In China werden diese Kennwörter gerne weiterverbreitet.

Per Brute Force ans Ziel

Lädt man sich die App auf sein Smartphone, so nimmt sie zunächst Kontakt zu einem Command & Control-Server (C&C-Server) auf, und der enthaltene Trojaner meldet den Namen des Netzwerks, mit dem das Gerät verbunden ist. Nun greift er den WLAN-Router an. Mithilfe einer Brute-Force-Attacke probiert er verschiedene Kombinationen aus Benutzernamen und den am häufigsten verwendeten Passwörtern aus. Das geschieht über einen JavaScript-Code, der vermutlich nur bei den weit verbreiteten Routern des chinesischen Herstellers TP-Link funktioniert.

Dringt die Malware in den Router vor, ändert sie dort die Adresse des bevorzugten DNS-Servers, so dass sämtliche DNS-Anfragen aus dem LAN nicht beim Server des Providers, sondern bei einem DNS-Verzeichnis der kriminellen Hacker landen. Sobald dann ein Anwender im LAN an seinem Rechner beispielsweise www.bing.com eingibt, erscheint statt der Suchmaschine eine von den Kriminellen gestaltete Website auf dem Gerät.

Die Angreifer haben auch vorgesorgt für den Fall, dass der manipulierte DNS-Server einmal nicht erreichbar sein sollte und in der Firmware des Routers auch die Adresse des zweiten Servers verändert. Der Benutzer wird dann auf den DNS-Server von Google mit der IP-Adresse 8.8.8.8 umgeleitet, damit der Angriff möglichst lange unentdeckt bleibt. Laut einer offenbar versehentlich öffentlich erreichbaren Statistik auf dem C&C-Server konnte Switcher im vergangenen Jahr 1.280 WLAN-Netzwerke infizieren.

Switcher ist nicht der erste Schädling seiner Art. Andere Vertreter sind etwa der von Symantec beschriebene Virus Linux.Wifatch und der zwischen 2007 und 2012 aktive DNS Changer. Zur Abwehr solcher Attacken wird empfohlen, regelmäßig nach Firmware-Updates für den Router zu suchen und sie einzuspielen, Remote Access und UPnP zu deaktivieren und ein eigenes, hinreichend komplexes Passwort für den Aufruf der Konfigurationsseite zu definieren. Ob ein Router infiziert ist, erkennt man an den Einstellungen für den DNS-Server. Bei Heim-Routern für die private und semiprofessionelle Nutzung ist dort bei nicht infizierten Geräten üblicherweise der automatische Bezug der Server-Adresse voreingestellt.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content