As falhas de segurança no Android deixaram de ser uma novidade e passaram a ser algo que é aceite de forma quase “normal”. Este não é um sistema perfeito, é o mais utilizado e isso permite uma exposição maior a problemas de segurança.
Um novo malware foi descoberto e, em vez de se dedicar a roubar dados dos utilizadores, prefere atacar os routers a que o utilizador se liga, alterando-lhe o DNS.
Este novo malware do Android, que está a ser chamado de Switcher, tem uma abordagem totalmente diferente do que se tem visto até hoje. Não se foca nos dados dos utilizadores e nem no próprio sistema operativo. Prefere atacar outros elementos da rede a que o smartphone está ligado, procurando como alvo preferencial os routers de acesso à Internet, onde tenta mudar os servidores de DNS definidos.
Ao conseguir fazê-lo, obtém um maior controlo sobre os restantes equipamentos e garante um impacto muito maior, uma vez que todos os que se ligam à rede infectada passam a usar esses novos servidores de DNS.
Com funciona este ataque no Android
Como dissemos antes, o Switcher não olha para o Android e prefere usá-lo como um meio para conseguir chegar aos routers que dão acesso à Internet, propagando-se nas redes sem fios onde o Android se liga. A ideia deste malware é alterar os servidores de DNS definidos, passando a usar outro, controlados pelo atacante.
Para conseguir aceder a estes routers, o Switcher usa uma técnica de força bruta, tentando descobrir os dados de acesso, recorrendo para isso a dicionários bem conhecidos.
Depois de aceder aos routers consegue detectar qual o equipamento e altera, recorrendo a javascript e ao acesso web, os servidores de DNS definidos. A marca de routers que o Switcher mais procura é a TP-Link.
Ao conseguir esta mudança, passa a ter estes servidores definidos em todos os equipamentos que se liguem a essa rede, uma vez que a maioria recebe estes servidores através do serviço DHCP.
O resultado final será o encaminhar dos utilizadores para sites que nada têm a ver com os que querem visitar, onde vão receber publicidade indesejada e até, provavelmente, novas infecções de malware e vírus.
Do que se sabe, este malware está a ser propagado através de uma falsa aplicação para pesquisa no Baidu e outra que se dedica a partilhar acessos a redes sem fios.
Esta é mais uma razão para ter cuidados redobrados e não deixar os equipamentos configurados com as passwords de fábrica ou com passwords simples e fáceis de adivinhar. Até agora ainda não existe uma solução para este problema.