Switcher: Android-Malware ändert Einstellungen des WLAN-Routers

Von Kaspersky Lab-Experten wurde eine Android-Malware entdeckt, die Einstellungen des WLAN-Routers ändert. Anwender, die dann über den Router ins Netz gehen, wähnen sich auf der korrekten Webseite eines von ihnen genutzten Angebots, Log-in-Daten, Passwörter oder Kreditkarteninformationen fallen dann jedoch den Kriminellen in die Hände.

Die Malware Switcher ändert dazu die Einstellungen im Router, wie Kaspersky-Experte Alex Drozhzhin erklärt. Auf diese Weise vermeiden die Kriminellen sämtliche Probleme, sie sie sonst haben, Nutzer auf gefälschte Websites zu locken, um ihnen dort ihre Daten abzuluchsen. Die neue Angriffsmethode ist für normale Anwender nur schwer durchschaubar, denn letztendlich ist dabei dann die gefälschte Website Seite auf einer legitimen Seite gehostet.

Die Kriminellen erstellen ihren eigenen DNS-Server und leiten Anfragen mittels DNS-Hijacking um. Die Angriffsmethode ist aktuell in China erfolgreich, könnte aber grundsätzlich auch Nutzer in Deutschland treffen.

Die Angreifer ahmen dazu zunächst bekannte und gängige Android-Apps nach. Sobald sich ein Nutzer diese Fake-App heruntergeladen und sich in einem WLAN befindet, kommuniziert der Schadcode mit einem Command-and-Control-Server. Diesem berichtet er dann, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde und stellt eine Netzwerk-ID bereit.

Switcher versucht dann, den WLAN-Router zu hacken. Er testet dann gängige Anmeldedaten, um sich einzuloggen. „Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden“, so Drozhzhin.

Der von Kaspersky beschriebene Angriff zielt derzeit offenbar vor allem auf Nutzer eines WLAN-Routers von TP-Link (Bild. TP-Link)

Wenn der Trojaner die Anmeldedaten herausgefunden hat, ruft er die Einstellungsseite des Routers auf und ändert die Standard-DNS-Serveradresse zu einer von den Kriminellen genutzten. Außerdem setzt die Malware einen legitimen Google-DNS-Server als sekundäre DNS-Adresse auf 8.8.8.8. Sollte der schädliche DNS-Server nicht funktionieren, merkt das Opfer dadurch zunächst nichts von der Manipulation.

Alle User, die sich mit einem derart infizierten Netzwerk verbinden, nutzen standardmäßig den gefährlichen DNS-Server, da in drahtlosen Netzwerken die verbundenen Geräte ihre Netzwerkeinstellungen und damit auch die Adresse des DNS-Servers vom Router erhalten.

Switcher hat es Kaspersky Lab zufolge in weniger als vier Monaten geschafft, 1280 drahtlose Netzwerke zu infizieren und stellt damit eine Gefahr für alle Nutzer dar, die solche Hotspots nutzen.

Kaspersky empfiehlt Nutzern, bei der Einrichtung eines WLAN-Routers immer das Standardpasswort zu ändern und ein ausreichend komplexes, neues zu verwenden. Außerdem sollte man natürlich keine verdächtigen Apps auf dem Smartphone installieren und sich nach Möglichkeit auf Google Play beschränkten, also keine inoffiziellen App Stores aufsuchen. Außerdem rät das Unternehmen natürlich zur Nutzung einer Mobile-Security-Suite. Die eigene erkenne die beschriebene Malware etwa als Trojan.AndroidOS.Switcher.

[Mit Material von Peter Marwan, silicon.de]