Android-Malware Switcher hackt WLAN-Router und ändert das DNS

Experten von Kaspersky Lab haben eine Android-Malware gefunden, die Einstellungen des WLAN-Routers ändert. Nutzer, die danach darüber ins Netz gehen, glauben, auf der korrekten Website eines von ihnen genutzten Angebots zu sein. Sofern sie jedoch Log-in-Daten, Passwörter oder Kreditkarteninformationen eingeben, fallen diese Kriminellen in die Hände.

Wie Kaspersky-Experte Alex Drozhzhin erklärt, ändert die Malware Switcher dazu die Einstellungen im Router. Die Kriminellen vermeiden damit all die Probleme, sie sie sonst haben, Nutzer auf gefälschte Websites zu locken um ihnen dort ihre Daten abzuluchsen. Für die Nutzer ist das die neue Angriffsmethode nur schwer durchschaubar, denn letztendlich ist dabei dann die gefälschte Website Seite auf einer legitimen Seite gehostet.

Erreicht wird da dadurch, dass die Kriminellen ihren eigenen DNS-Server erstellen und mittels DNS-Hijacking Anfragen umleiten. Aktuell ist die Angriffsmethode in China erfolgreich, sie könnte aber grundsätzlich auch Nutzer in Deutschland treffen.

Zunächst ahmen die Angreifer dazu bekannte und gängige Android-Apps nach. Sobald sich ein Nutzer diese Fake-App heruntergeladen und sich in einem WLAN befindet, kommuniziert der Schadcode mit einem Command-and-Control-Server. Ihm berichtet er dann, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde und stellt eine Netzwerk-ID bereit.

Dann versucht Switcher, den WLAN-Router zu hacken. Dazu testet er gängige Anmeldedaten, um sich einzuloggen. “Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden”, so Drozhzhin.

Der von Kaspersky beschriebene Angriff zielt derzeit offenbar vor allem auf Nutzer eines WLAN-Routers von TP-Link (Bild. TP-Link)

Hat der Trojaner die Anmeldedaten herausgefunden, ruft er die Einstellungsseite des Routers auf und ändert die Standard-DNS-Serveradresse zu einer von den Kriminellen genutzten. Zudem setzt die Malware einen legitimen Google-DNS-Server als sekundäre DNS-Adresse auf 8.8.8.8. Sollte der schädliche DNS-Server nicht funktionieren, merkt das Opfer dadurch zunächst nichts von der Manipulation.

Da in drahtlosen Netzwerken die verbundenen Geräte ihre Netzwerkeinstellungen und damit auch die Adresse des DNS-Servers vom Router erhalten, benutzen dann alle User, die sich mit einem derart infizierten Netzwerk verbinden, standardmäßig den gefährlichen DNS-Server.

Kaspersky Lab zufolge hat es Switcher in weniger als vier Monaten geschafft, 1280 drahtlose Netzwerke zu infizieren und stellt damit eine Gefahr für alle Nutzer dar, die solche Hotspots nutzen.

Kaspersky rät, bei der Einrichtung eines WLAN-Routers stets das Standardpasswort zu ändern und ein ausreichend komplexes, neues zu wählen. Außerdem sollte man natürlich keine verdächtigen Apps auf dem Smartphone installieren und sich nach Möglichkeit auf Google Play beschränkten, also keine inoffiziellen App Stores aufsuchen. Außerdem empfiehlt das Unternehmen natürlich die Nutzung einer Mobile-Security-Suite. Die eigene erkenne die beschriebene Malware etwa als Trojan.AndroidOS.Switcher.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

5 Tagen ago