如果你可利用Android木馬程序來感染本地WiFi接入點，并可利用DNS劫持攻擊每臺連接到該網絡的設備，那何必浪費時間去攻擊Android設備?

[[181993]]

卡巴斯基研究人員報告稱他們發現一種新型Android惡意軟件，他們稱之為“Trojan.AndroidOS.Switcher”，它做的正是上述的事情：當它啟動并確定自己是在目標無線網絡中后，該惡意軟件會暴力破解本地WiFi路由器密碼。如果成功的話，該惡意軟件會重置默認域名系統(DNS)服務器為自己的服務器。這樣的話，它就可對連接到該網絡的其他設備或系統執行幾乎任何類型的攻擊。

卡巴斯基移動惡意軟件分析師Nikita Buchka在博客中寫道：“這種攻擊并不是攻擊用戶，而是攻擊用戶連接的WiFi，更準確地說，無線路由器。”這種新的Android木馬程序通過在路由器管理Web界面暴力破解密碼來獲得訪問權限。“如果攻擊成功，該惡意軟件會更改路由器設置中DNS服務器的地址，因此它可將受感染WiFi網絡中設備的所有DNS查詢請求路由到攻擊者的服務器，這種攻擊也被稱為DNS劫持攻擊。”

由于設備通常重置其默認DNS服務器配置以反映本地WiFi路由器中默認值，這種新型Android木馬程序可迫使通過路由器連接的設備指向受攻擊者控制的流氓DNS服務器。其結果是，當攻擊者可訪問路由器DNS設置時，幾乎可控制該路由器服務的網絡中所有的流量。

Buchka稱，如果這個Switcher惡意軟件成功安裝路由器中，它可讓用戶面臨“廣泛的攻擊”威脅，例如網絡釣魚攻擊。“攻擊者篡改路由器設置的主要危害是，即使路由器重啟新設置仍將存在，并且DNS劫持很難被發現，”他表示，“即使流氓DNS服務器被禁用一段時間，則將使用輔助DNS(設置為8.8.8.8)，用戶和/或IT也不會收到警告。”

通過設置輔助DNS服務器為谷歌的DNS服務--IP地址為8.8.8.8，攻擊者可確保即使自己的惡意DNS服務器不可用，用戶也不會遭遇任何中斷。

當Switcher進入用戶的Android設備后，它會檢查本地無線網絡的基本服務集標識符(本地網絡接入點的MAC地址)，并將其報告給該木馬程序的命令控制網絡，再進行暴力破解以及重新配置路由器。該惡意軟件還會嘗試識別正在使用哪個互聯網服務提供商，以便它可重新配置路由器為使用流氓DNS服務器，然后可對路由器系統管理的Web界面進行暴力攻擊。

卡巴斯基報告了兩種版本的Android木馬程序：其中一個版本偽裝成中文搜索引擎百度移動客戶端，另一個偽裝成流行中文應用(用于共享WiFi訪問信息)。根據卡巴斯基對該惡意軟件中硬編碼的輸入字段名稱的分析，以及對該Android木馬程序試圖訪問的HTML文件結構的分析，卡巴斯基判斷該Switcher只會感染TP-LINK WiFi路由器。

Switcher攻擊者將其命令控制系統搭載在用于推廣其假WiFi接入應用的網站;根據卡巴斯基表示，該網站還包含Switcher感染計數器。卡巴斯基報告稱1280個WiFi網絡已經成功被滲透。卡巴斯基建議用戶檢查其DNS配置是否已經配置為任何流氓DNS服務器(101.200.147.153、 112.33.13.11和120.76.249.59)。如果網絡已經被感染，則可重置DNS服務器配置以及默認路由器管理密碼來緩解攻擊;我們還可通過更改系統管理默認用戶ID和密碼來防止攻擊。