Switcher : ce malware qui infecte les routeurs par terminaux Android interposés

Nom : Switcher. Nature : cheval de Troie. Terrain de jeu : les terminaux Android. Particularité : exploite les appareils qu’il infecte comme des relais pour s’attaquer aux réseaux Wi-Fi en modifiant les DNS des routeurs.

Kaspersky Lab a mis le doigt sur ce malware dont il existe au moins deux déclinaisons.

La première se cache dans une application mobile d’apparence anodine qui ouvre tout simplement la page d’accueil du moteur de recherche chinois Baidu en version mobile.

La seconde est plus pernicieuse, car dissimulée dans la copie d’une app très utilisée en Chine pour partager des informations sur des réseaux sans fil (typiquement, les mots de passe des hotspots publics).

Une fois installé par l’un ou l’autre moyen, Switcher récupère l’identifiant du Wi-Fi auquel l’appareil Android infecté est connecté. Information qu’il transmet à un serveur de commande et de contrôle (C&C) sur lequel des pirates ont la main.

Deuxième étape : tenter de déterminer le fournisseur d’accès et régler en conséquence le serveur DNS malveillant vers lequel rediriger le trafic (par défaut, 101.200.247.153 ; deux autres adresses peuvent être utilisées : 112.33.13.11 et 120.76.249.59).

Intervient ensuite l’attaque à proprement parler. Switcher récupère l’IP par défaut du routeur*, accède à l’interface d’administration et y teste, sur le principe de la force brute, une vingtaine de mots de passe, systématiquement en association avec l’identifiant « admin ».

Une fois l’authentification réussie, direction le panneau WAN pour changer les DNS. Ceux de Google (8.8.8.8) sont placés en secondaire afin de ne pas éveiller les soupçons si jamais le DNS primaire (celui des pirates) venait à tomber.

À partir de là, on peut imaginer une multitude de scénarios allant du phishing à l’affichage de publicité en passant par la distribution de logiciels malveillants.

Le danger, outre le fait que les IP malveillantes restent en mémoire en cas de redémarrage du routeur, réside dans la tendance de nombreux routeurs à transmettre leurs paramètres DNS aux appareils qui leur sont associés. Ce qui signifie que les pirates peuvent éventuellement contrôler le trafic à l’échelle de tout le réseau.

À s’en fier aux quelques éléments accessibles sur le serveur des pirates, 1 280 réseaux Wi-Fi avaient été infectés au 21 décembre 2016.

* D’après Kaspersky Lab, le code JavaScript sur lequel se fonde le trojan démontre qu’il est conçu pour fonctionner exclusivement avec les routeurs TP-LINK.