image

Aanvallers wijzigen dns routers om Android-malware te verspreiden

dinsdag 17 april 2018, 10:02 door Redactie, 7 reacties

Cybercriminelen wijzigen de dns-instellingen van routers om Android-malware te verspreiden die bankgegevens probeert te stelen, zo waarschuwt anti-virusbedrijf Kaspersky Lab. Het is echter onbekend hoe de aanvallers toegang tot de routers weten te krijgen om de dns-instellingen aan te passen.

Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door het aanpassen van de dns-instellingen bepalen de aanvallers naar welk ip-adres gebruikers worden doorgestuurd. Als gebruikers van een gehackte router een website opvragen worden ze zodoende altijd naar een kwaadaardige website doorgestuurd.

Vanwege de aangepaste dns-instellingen verschijnt in de adresbalk van de browser wel de naam van de opgevraagde website. De kwaadaardige website laat vervolgens een melding zien dat de gebruiker een update voor Google Chrome of Facebook moet installeren. Hiervoor wordt er een APK-bestand aangeboden, wat de malware is. Standaard zal Android dergelijke APK-bestanden niet installeren. Gebruikers moeten dan ook zelf deze beveiligingsmaatregel uitschakelen om het APK-bestand te installeren en met de malware besmet te raken.

Het doel van de malware is het stelen van bankgegevens. Eenmaal geïnstalleerd op het toestel laat de malware boven andere vensters een phishingvenster zien waarin om allerlei gegevens wordt gevraagd. Hierbij wordt er ook specifiek om de verificatiecode voor tweefactorauthenticatie gevraagd. De malware ondersteunt daarnaast ook het onderscheppen van sms-berichten, die bijvoorbeeld een verificatiecode kunnen bevatten, en het opnemen van audio.

Kaspersky Lab detecteerde de malware meer dan 6.000 keer. De meldingen waren echter afkomstig van 150 unieke gebruikers die de malware keer op keer op hun netwerk tegenkwamen. Voor zover bekend zijn Chinees-, Engels-, Japans- en Koreaanstalige gebruikers het doelwit, aangezien de malware alleen teksten voor deze talen bevat. De meeste infecties zijn in Zuid-Korea waargenomen. De grote vraag is echter hoe de aanvallers toegang tot de routers weten te krijgen. Iets waar de onderzoekers op dit moment nog geen antwoord op hebben. Eind vorig jaar werd echter bekend dat er in onder andere Zuid-Korea allerlei kwetsbare routers zijn te vinden.

Image

Reacties (7)
17-04-2018, 11:11 door Anoniem
Tja hoe komen ze binnen..nou via lekken in modems en/of routers denk ik. Hoe anders? Maar ja controleert de modems/routers op veiligheid en lekproof zijn. Als het goed is de internetprovider zelf. Maar die doen dat niet altijd. Dus wie controleert of zij hun modems/routers goed beveiligen!? De consumentenbond? Radar? Kassa? Maar zij hebben geen autoriteit/bevoegdheid om in te grijpen. Ze kunnen alleen maar testen en melden aan de provider en het publiek. Er moet als die er nog niet is een internet-autoriteit komen die dit soort testen faan uitvoeren en de fabrikanten en providers kan verplichten om deze lekken te patchen. Ook het niet (tijdig) patchen/updaten van android smartphones&tablets moet die internetautoriteit gaan aanpakken. Geen (tijdige) update/patch betekend boete en flinke dwangsom per dag/week/maand dat er nog niet ge-update/gepatched is. Zo moet het gaan worden. Liefst ook in europees verband met een europese internet-autoriteit/waakhond die dit soort dingen gaat aanpakken. Modems en routers moeten veilig zijn. Punt!
17-04-2018, 13:38 door Anoniem
De aanval gaat buiten Android om. Als je dus in Android vaste DNS servers configureert dan werkt de aanval niet meer.
17-04-2018, 13:47 door Anoniem
Modems en routers moeten veilig zijn. Punt!

Fijn zo'n zinloos statement. Windows moet foutloos geprogrammeerd worden, zodat er geen kwetsbaarheden in zitten !

Droom lekker verder, zelfs een volledig gepatchde router heeft nog altijd kwetsbaarheden (anders zou er nimmer meer een patch uitkomen)....

Dat providers en fabrikanten meer kunnen doen, dat klopt.
17-04-2018, 14:58 door Briolet - Bijgewerkt: 17-04-2018, 14:58
Door Anoniem:
Modems en routers moeten veilig zijn. Punt!

Fijn zo'n zinloos statement. Windows moet foutloos geprogrammeerd worden, zodat er geen kwetsbaarheden in zitten !

En auto's moeten veilig zijn zodat ze geen ongelukken veroorzaken. Rijbewijzen mogen pas afgegeven worden als bestuurders veilig kunnen rijden.

Dit gebeurd in de praktijk ook niet. Het zou auto's onbetaalbaar duur maken en de uitgifte van rijbewijzen op nul zetten. In de echte wereld moet je altijd een schemergebied toestaan en niet zwart/wit denken.
17-04-2018, 15:06 door karma4
Door Anoniem: De aanval gaat buiten Android om. Als je dus in Android vaste DNS servers configureert dan werkt de aanval niet meer.
Routers zien die DNS-servers IP-adressen hun taak is het routeren van ip-nummers.
De basisfunctie van routers negeren gaat je niet helpen.
18-04-2018, 17:54 door Anoniem
Door karma4:
Door Anoniem: De aanval gaat buiten Android om. Als je dus in Android vaste DNS servers configureert dan werkt de aanval niet meer.
Routers zien die DNS-servers IP-adressen hun taak is het routeren van ip-nummers.
De basisfunctie van routers negeren gaat je niet helpen.

Goed opgemerkt, echter:

- Met alleen een gewijzigde config file ga je een router niet zover krijgen dat hij automatish DNS verkeer gaat herkennen en hiervan de source en destination frames gaat vervalsen om zo DNS requests transparant om te leiden. Dan heb je toch al te maken met kwaadaardige firmware.

- Als dat dan inderdaad het geval is dan zou DNSsec moeten helpen.
18-04-2018, 21:31 door Anoniem
Het is echter onbekend hoe de aanvallers toegang tot de routers weten te krijgen om de dns-instellingen aan te passen.

Verschaf jezelf toegang tot de tr069 controlserver van een internet provider en je hebt toegang tot de configuraties van alle klantmodems en kan zelfs massaal kwaadaardige firmware uitrollen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.