Embora a existência desses males seja, infelizmente, bastante comum nos aparelhos que rodam Android, um novo malware que ataca indiretamente esses celulares pode causar problemas aos usuários em uma escala muito maior do que a das ameaças atuais. Trata-se de um trojan conhecido como Switcher, que é descrito pelos pesquisadores do Kaspersky Lab como um programa que utiliza o smartphone como ponte para infectar e sequestrar roteadores wireless.
Sim, em vez de monitorar sua navegação na web ou ficar atento a operações financeiras feitas no seu dispositivo móvel, o malware aproveita a conexão do gadget a modens e roteadores – em qualquer ambiente – para tentar tomar controle desses equipamentos de distribuição de internet sem fio. O objetivo da ameaça? Mudar as configurações de DNS do aparelho para redirecionar o acesso de visitantes conectados a esses pontos de rede a páginas maliciosas.
O funcionamento do Switcher é bastante simples e depende tanto da atenção do usuário quanto da proteção dos periféricos para ter sucesso em seu ataque. Para fazer a infecção inicial no celular, o malware se disfarça como dois aplicativos chineses famosos: um que simula as ferramentas de busca do Baidu e outro que finge ser um serviço de compartilhamento e localização de hotspots WiFi. A partir de então, o intruso passa a fazer ataques de força bruta contra a interface de acesso web do roteador que o gadget estiver conectado.
O controle sobre o roteador facilita a invasão a uma infinidade de usuários
Caso consiga vencer essa barreira, o programa muda automaticamente as duas entradas de DNS para servidores comprometidos, que começam a responder às requisições de acesso com links feitos sob medida para roubar grandes quantidades de informações do internauta. A "vantagem" desse método em cima dos sequestros de aparelhos tradicionais é que o controle sobre o roteador facilita a invasão a uma infinidade de usuários, principalmente em ambientes públicos ou corporativos – podendo atingir também PC e laptops na rede.
De olho na segurança
De acordo com o Kaspersky Lab, o recurso de DNS-hijacking do malware usa funções de JavaScript para tentar adivinhar o password do equipamento, tentando utilizar uma infinidade de combinações padrões de nome de usuário e senha desses produtos, indo desde admin:admin ao nada seguro admin:123456. Ainda que esse acervo básico possa pegar muitos pontos de calças curtas, os pesquisadores da empresa russa dizem que, após avaliar o trojan, ficou claro que ele mira principalmente dispositivos da TP-Link.
As conexões da TP-Link geralmente são os principais alvos
Como o trojan é relativamente recente, a Google ou a as fabricantes de roteadores ainda não se pronunciaram sobre o problema. Sendo assim, o mais indicado é que você só baixe aplicativos da loja oficial da Google, fique de olho no endereço de DNS do seu roteador e altere as configurações de usuário e senha regularmente – e sem termos ou palavras óbvias – para frustrar qualquer possível ataque.
Fontes