El equipo de investigadores de Kaspersky Labs ha detectado recientemente un nuevo tipo de virus para Android bautizado como Switcher. Básicamente su «modus operandi» es conectarse a routers vía WiFi, para de este modo secuestrar las direcciones DNS. Cuando el router ya está infectado, los atacantes toman el control del tráfico de datos, con el consiguiente peligro que ello supone. El código de Switcher cuenta con unas tablas predefinidas que prueba de forma aleatoria para conseguir verificar usuario y contraseña. Cuando logra su objetivo, en todos los routers en los que funciona la fuerza bruta, el troyano ya está preparado para cambiar las direcciones DNS. Por el momento ha infectado a unos 1.500 ordenadores, aunque se espera que esta cifra aumente en las próximas semanas.
Android se ha expandido a nivel global de tal manera, que la plataforma se ha convertido en el blanco perfecto de virus y troyanos. El último lleva por nombre Switcher y ya ha conseguido infectar en todo el mundo a más de 1.500 ordenadores. Lo que hace es conectarse por WiFi a los routers y secuestrar las direcciones DNS para que los atacantes puedan controlar el tráfico de datos. Switcher se camufla en forma de diferentes aplicaciones alternativas al buscador Baidu para después ejecutar su finalidad.
Switcher accede por fuerza bruta al apartado de configuración del router de la red en la que se ha conectado nuestro dispositivo. El código de Switcher dispone de unas tablas que están predefinidas al azar para lograr verificar el nombre de usuario y la contraseña. En el momento en el que lo logra, que suele ser en los routers en los que funciona la fuerza bruta, el virus es capaz de cambiar las direcciones DNS. De momento se han detectado las siguientes direcciones DNS de los servidores:
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
Cuando se establecen en el router los DNS, se desvían todas las peticiones de tráfico de la red a dichos servidores, por lo que queda expuesto a los atacantes. Tal y como nos cuentan desde The hackers news, el desvío del tráfico puede redirigirse a otras páginas con software malicioso listas para infectar a otro tipo de dispositivos. Lo peor, es que se trata de una acción silenciosa, lo que significa que esta acción pasarían inadvertida para los usuarios afectados.
El malware en Android es constante. Recientemente Check Point avisó de la presencia de un virus bautizado como DressCode, presente en más de 40 aplicaciones de la Google Play Store. Básicamente, este malware se ha estado beneficiando del móvil para poder conseguir datos confidenciales de la red, lo que es especialmente peligroso en aquellos dispositivos que están conectados a una red empresarial. Pero además, según datos de la firma de seguridad G Data, entre enero y junio de este año se descubrieron más de un millón de nuevas apps Android con contenido malicioso. Esto supone un aumento de cerca del 30 por ciento en comparación con el semestre anterior, superando a las creadas en los últimos años.
