Android-Malware Switcher hackt WLAN-Router und ändert das DNS

Android Security (Bild: ZDNet.com)

Die Malware macht sich zwei bei chinesischen Anwendern beliebte Gewohnheiten zunutze. Sie könnte aber auch auf europäische Nutzer adaptiert werden. Kaspersky-Experte Alex Drozhzhin sieht für Kriminelle zahlreiche Möglichkeiten, so Passwörter und Log-in-Informationen abzugreifen.

Experten von Kaspersky Lab haben eine Android-Malware gefunden, die Einstellungen des WLAN-Routers ändert. Nutzer, die danach darüber ins Netz gehen, glauben, auf der korrekten Website eines von ihnen genutzten Angebots zu sein. Sofern sie jedoch Log-in-Daten, Passwörter oder Kreditkarteninformationen eingeben, fallen diese Kriminellen in die Hände.

Wie Kaspersky-Experte Alex Drozhzhin erklärt, ändert die Malware Switcher dazu die Einstellungen im Router. Die Kriminellen vermeiden damit all die Probleme, sie sie sonst haben, Nutzer auf gefälschte Websites zu locken um ihnen dort ihre Daten abzuluchsen. Für die Nutzer ist das die neue Angriffsmethode nur schwer durchschaubar, denn letztendlich ist dabei dann die gefälschte Website Seite auf einer legitimen Seite gehostet.

Kaspersky (Bild: Kaspersky)

Erreicht wird da dadurch, dass die Kriminellen ihren eigenen DNS-Server erstellen und mittels DNS-Hijacking Anfragen umleiten. Aktuell ist die Angriffsmethode in China erfolgreich, sie könnte aber grundsätzlich auch Nutzer in Deutschland treffen.

Zunächst ahmen die Angreifer dazu bekannte und gängige Android-Apps nach. Sobald sich ein Nutzer diese Fake-App heruntergeladen und sich in einem WLAN befindet, kommuniziert der Schadcode mit einem Command-and-Control-Server. Ihm berichtet er dann, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde und stellt eine Netzwerk-ID bereit.

Dann versucht Switcher, den WLAN-Router zu hacken. Dazu testet er gängige Anmeldedaten, um sich einzuloggen. “Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden”, so Drozhzhin.

TP-Link AC1750 Wireless Dual Band Gigabit Router (Bild: TP-Link)
Der von Kaspersky beschriebene Angriff zielt derzeit offenbar vor allem auf Nutzer eines WLAN-Routers von TP-Link (Bild. TP-Link)

Hat der Trojaner die Anmeldedaten herausgefunden, ruft er die Einstellungsseite des Routers auf und ändert die Standard-DNS-Serveradresse zu einer von den Kriminellen genutzten. Zudem setzt die Malware einen legitimen Google-DNS-Server als sekundäre DNS-Adresse auf 8.8.8.8. Sollte der schädliche DNS-Server nicht funktionieren, merkt das Opfer dadurch zunächst nichts von der Manipulation.

Da in drahtlosen Netzwerken die verbundenen Geräte ihre Netzwerkeinstellungen und damit auch die Adresse des DNS-Servers vom Router erhalten, benutzen dann alle User, die sich mit einem derart infizierten Netzwerk verbinden, standardmäßig den gefährlichen DNS-Server.

Kaspersky Lab zufolge hat es Switcher in weniger als vier Monaten geschafft, 1280 drahtlose Netzwerke zu infizieren und stellt damit eine Gefahr für alle Nutzer dar, die solche Hotspots nutzen.

Kaspersky rät, bei der Einrichtung eines WLAN-Routers stets das Standardpasswort zu ändern und ein ausreichend komplexes, neues zu wählen. Außerdem sollte man natürlich keine verdächtigen Apps auf dem Smartphone installieren und sich nach Möglichkeit auf Google Play beschränkten, also keine inoffiziellen App Stores aufsuchen. Außerdem empfiehlt das Unternehmen natürlich die Nutzung einer Mobile-Security-Suite. Die eigene erkenne die beschriebene Malware etwa als Trojan.AndroidOS.Switcher.