Kaspersky Lab、Wi-Fiルーターを狙うAndroid向けトロイの木馬「Switcher Trojan」を発見
Switcher Trojanは、Androidデバイスを直接狙わず、デバイスが接続しているWi-Fiルーターに感染します。その後、DNSサーバーの設定を変更し、そのネットワークに接続しているデバイスのトラフィックを、攻撃者が管理するWebサイトにリダイレクトします。これまで1,280のWi-Fiネットワークへの不正アクセスに成功したとみられています。
~これまでに1,280のWi-Fiネットワークに侵入し、接続しているユーザーのトラフィックを偽装サイトにリダイレクト~
[本リリースは、2016年12月28日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labのリサーチャーは、注目すべき新たなAndroid向けトロイの木馬「Switcher Trojan」を発見しました。Switcher Trojanは、Androidデバイスを直接狙わずにデバイスが接続しているWi-Fiルーターを攻撃し、無警戒なAndroidユーザーを感染させる手段をとっています。Wi-Fiルーターに感染後、ルーターのDNSサーバーの設定を変更し、そのネットワークに接続しているデバイスからのトラフィックを、攻撃者が管理するWebサイトにリダイレクトします。これによりユーザーは、フィッシング、マルウェア、アドウェア攻撃などの危険にさらされます。
DNSは、「x.com」などの判読可能なWebアドレスをコンピューター間の通信で必要なIPアドレスに変換しますが、攻撃者はSwitcher Trojanの機能によってこのプロセスを乗っ取り、インターネットトラフィックなど、名前解決の仕組みを利用するネットワーク活動をほぼ完全に掌握します。Wi-Fiルーターは通常、ネットワーク内のすべてのデバイスのDNS設定を独自の設定に再構成するため、全デバイスが強制的に同じ不正DNSを使用することになり、このようなアプローチが機能します。
Switcher Trojanは、攻撃者が作成したWebサイトにアクセスすることでダウンロードされ感染します。種類は2つで、中国の検索エンジン「Baidu」のAndroidアプリに偽装したものと、Wi-Fiネットワークに関する情報を共有する中国の人気アプリ「WiFi Master Key」を偽装したものがあります。感染したデバイスがWi-Fiネットワークに接続すると、Switcher Trojanがルーターを攻撃し、パスワードとログインIDの組み合わせを予め定義したリストを使用して、ルーターのWeb管理インターフェイスへのアクセスを総当たり攻撃で割り出します。不正アクセスが成功すると、Switcher Trojanは既存のDNSサーバーを攻撃者が管理する不正なDNSサーバーに置き換え、セカンダリDNSサーバーも設定します。これにより、不正なプライマリDNSがダウンしても稼働を続けられるようにしています。
 |  |
図1:通常の通信処理 | 図2:Switcher Trojanの攻撃が成功した場合の通信 |
攻撃者は、Switcher Trojanに感染させるために偽装したアプリをユーザーに配信するためのWebサイトを作成しますが、サイトをホストするWebサーバーには攻撃者の指令(C&C)サーバーとしての機能もあります。このWebサイトで見つかった感染の統計情報によると、攻撃者はこれまでに主に中国の1,280にもおよぶWi-Fiネットワークへの不正アクセスに成功したとみられます。これらのネットワークに接続できるすべてのデバイスが、さらなる攻撃と感染にさらされている可能性があります。
Kaspersky Labのマルウェアアナリストであるニキータ・ブーチカ(Nikita Buchka)は次のように述べています。「Switcher Trojanは、コネクテッドデバイスとネットワークに対する攻撃の新しい危険なトレンドを生み出しています。ユーザーを直接攻撃せず、犯罪に加担する気のないユーザーを共犯者に変え、感染源を物理的に移動させるのです。Switcher Trojanは、ネットワーク全体を標的とし、個人か企業かを問わずすべてのユーザーを、フィッシングから二次感染まで幅広い攻撃にさらします。成功した攻撃の検知は困難な場合もあり、除去はさらに難しいこともあります。ルーターを再起動しても新しい設定は残り、不正なDNSが無効になったとしても、用意されているセカンダリDNSサーバーが処理を引き継ぐからです。デバイスの保護はかつてないほど重要になっていますが、接続された世界においては、ルーターやWi-Fiネットワークの脆弱性も見落とすわけにはいきません」
Kaspersky Labはすべてのユーザーに対し、DNS設定を確認して、以下の不正DNSサーバーを検索するように推奨しています。
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
DNS設定にこれらのサーバーのいずれかがある場合、インターネットサービスプロバイダー(ISP)のサポートに問い合わせるか、Wi-Fiネットワークの所有者に警告する必要があります。また、弊社はこのような攻撃を未然に防ぐために、ルーターの管理Webインターフェイスの初期設定のログインIDとパスワードを変更することを強く推奨します。
Switcher Trojanの詳細については、Securelistのブログ記事をご覧ください。
Kaspersky Lab、Wi-Fiルーターを狙うAndroid向けトロイの木馬「Switcher Trojan」を発見
Kaspersky
関連記事 ウイルスニュース
Kaspersky Lab、インターポール主導のASEAN地域を対象としたサイバー犯罪捜査活動に参加
ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。詳しくはこちら >インターポールをはじめ30以上の新規パートナーが「No More Ransom」プロジェクトに参加、新たに15の復号ツールを公開
2016年7月に発足した官民連携のランサムウェア対抗プロジェクトに、新たに30超の組織が参加し、計87組織となりました。今回、15の復号ツールが追加され、ポータルサイトも日本語をはじめ14の言語で利用が可能になりました。2016年12月以来、全世界で1万人以上のユーザーが同プロジェクトで提供されている復号ツールを利用して、攻撃を受けたデバイスを復号することに成功しています。詳しくはこちら >Kaspersky Lab、悪名高きサイバー犯罪組織「Lazarus」を追跡調査し、 金融機関からの大規模な金銭窃取の回避に貢献
Kaspersky Labのグローバル調査分析チームは、2016年にバングラデシュ中央銀行から8,100万ドルを窃取したとされるサイバー犯罪組織「Lazarus」を、1年以上に渡り調査した結果を発表しました。この分析結果から得られた知見は、Lazarusが別の金融機関を狙い、多額の金銭窃取を目的とした攻撃活動を中断させる手助けとなりました。詳しくはこちら >