Switcher: Android-Malware ändert Einstellungen des WLAN-Routers

Von Kaspersky Lab-Experten wurde eine Android-Malware entdeckt, die Einstellungen des WLAN-Routers ändert. Anwender, die dann über den Router ins Netz gehen, wähnen sich auf der korrekten Webseite eines von ihnen genutzten Angebots, Log-in-Daten, Passwörter oder Kreditkarteninformationen fallen dann jedoch den Kriminellen in die Hände.

Die Malware Switcher ändert dazu die Einstellungen im Router, wie Kaspersky-Experte Alex Drozhzhin erklärt. Auf diese Weise vermeiden die Kriminellen sämtliche Probleme, sie sie sonst haben, Nutzer auf gefälschte Websites zu locken, um ihnen dort ihre Daten abzuluchsen. Die neue Angriffsmethode ist für normale Anwender nur schwer durchschaubar, denn letztendlich ist dabei dann die gefälschte Website Seite auf einer legitimen Seite gehostet.

Die Kriminellen erstellen ihren eigenen DNS-Server und leiten Anfragen mittels DNS-Hijacking um. Die Angriffsmethode ist aktuell in China erfolgreich, könnte aber grundsätzlich auch Nutzer in Deutschland treffen.

Die Angreifer ahmen dazu zunächst bekannte und gängige Android-Apps nach. Sobald sich ein Nutzer diese Fake-App heruntergeladen und sich in einem WLAN befindet, kommuniziert der Schadcode mit einem Command-and-Control-Server. Diesem berichtet er dann, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde und stellt eine Netzwerk-ID bereit.

Switcher versucht dann, den WLAN-Router zu hacken. Er testet dann gängige Anmeldedaten, um sich einzuloggen. „Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden“, so Drozhzhin.

Der von Kaspersky beschriebene Angriff zielt derzeit offenbar vor allem auf Nutzer eines WLAN-Routers von TP-Link (Bild. TP-Link)

Wenn der Trojaner die Anmeldedaten herausgefunden hat, ruft er die Einstellungsseite des Routers auf und ändert die Standard-DNS-Serveradresse zu einer von den Kriminellen genutzten. Außerdem setzt die Malware einen legitimen Google-DNS-Server als sekundäre DNS-Adresse auf 8.8.8.8. Sollte der schädliche DNS-Server nicht funktionieren, merkt das Opfer dadurch zunächst nichts von der Manipulation.

Alle User, die sich mit einem derart infizierten Netzwerk verbinden, nutzen standardmäßig den gefährlichen DNS-Server, da in drahtlosen Netzwerken die verbundenen Geräte ihre Netzwerkeinstellungen und damit auch die Adresse des DNS-Servers vom Router erhalten.

Switcher hat es Kaspersky Lab zufolge in weniger als vier Monaten geschafft, 1280 drahtlose Netzwerke zu infizieren und stellt damit eine Gefahr für alle Nutzer dar, die solche Hotspots nutzen.

Kaspersky empfiehlt Nutzern, bei der Einrichtung eines WLAN-Routers immer das Standardpasswort zu ändern und ein ausreichend komplexes, neues zu verwenden. Außerdem sollte man natürlich keine verdächtigen Apps auf dem Smartphone installieren und sich nach Möglichkeit auf Google Play beschränkten, also keine inoffiziellen App Stores aufsuchen. Außerdem rät das Unternehmen natürlich zur Nutzung einer Mobile-Security-Suite. Die eigene erkenne die beschriebene Malware etwa als Trojan.AndroidOS.Switcher.

[Mit Material von Peter Marwan, silicon.de]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago