Semakin kesini, semakin banyak pula malware mencengangkan bagi pengguna Android. Kali ini sudah ditemukan sebuah Malware Android baru. Namun malware ini tidak menyerang perangkat secara langsung. Malware ini akan mengambil kontrol atas router WiFi yang terhubung dengan perangkat. Dan kemudian membajak lalu lintas web yang ada pada jaringan tersebut.

Malware Android baru ini dinamai Switcher. Ditemukan oleh para peneliti di Kaspersky Lab. Malware ini mampu meretas router nirkabel dan mengubah pengaturan DNS. Yang bertujuan untuk mengarahkan lalu lintas yang ada ke situs-situs berbahaya.

Kurang lebih seminggu yang lalu, ditemukan juga serangan serupa. Namun serangan itu menargetkan PC dan bukan menginfeksi mesin target. Yang juga mengambil kontrol atas router WiFI yang terhubung dengan perangkat.

Malware Andoid Baru

Malware Switcher menggunakan metode Brute-Force untuk menyerang Router

Peretas mendistribusikan Switcher dengan menyamarkan dirinya sebagai aplikasi Android untuk search engine China, Baidu (com.baido.com). Juga sebagai aplikasi untuk sharing dan private Wi-Fi network details (com.snda.wifilocating).

Setelah target menginstal aplikasi berbahaya, Switcher pun akan berupaya untuk login ke router WiFi. Lalu melakukan serangan brute forcing ke interface web admin router.

Dengan bantuan JavaScript, Switcher mencoba untuk login menggunakan kombinasi yang berbeda untuk login dan password.” Pakar keamanan mobile Nikita Buchka dari Kaspersky Lab mengatakan dalam sebuah postingan blog.

Dilihat dari nama hard coded untuk field input dan struktur dari dokumen HTML yang dicoba malware untuk mengakses, kode JavaScript digunakan hanya untuk bekerja pada interface web router TP-LINK Wi-Fi.

Malware Switcher menginfeksi Router melalui pembajakan DNS

Setelah interface admin web router berhasil diakses, Switcher akan mengganti primer dan sekunder DNS server router. Malware ini akan menggantinya dengan alamat IP yang mengarah ke server DNS yang dikendalikan penyerang.

Para peneliti mengatakan Switcher telah menggunakan tiga alamat IP yang berbeda. Yaitu 101.200.147.153, 112.33.13.11 dan 120.76.249.59 sebagai DNS record primer. Satu merupakan default, sementara dua lainnya ditetapkan untuk penyedia layanan internet tertentu.

Karena perubahan pengaturan DNS router, semua lalu lintas akan diarahkan ke situs-situs berbahaya yang disiapkan penyerang.

Malware ini menargetkan seluruh jaringan dan memperlihatkan semua penggunanya. Baik individu ataupun bisnis untuk berbagai serangan. Mulai dari phising untuk infeksi sekunder. Sebuah serangan yang sukses akan menjadi sulit dideteksi. Bahkan sulit untuk mengalihkannya.

Malware ini pun di setting agar dapat bertahan meskipun router di reboot. Dan bahkan jika DNS tipuan dinonaktifkan, maka server DNS sekunder akan mengambil alih untuk melanjutkannya.

Sampai artikel ini dipublish, Switcher sudah berhasil mengambil alih hampir 1.300 router. Terutama untuk wilayah China.

Himbauan / Catatan

Pengguna Android usahakan untuk mengunduh aplikasi hanya dari Google Play Store. Sementara mengunduh aplikasi dari pihak ketiga selalu ada risiko dengan malware atau virus. Kamu juga bisa masuk ke Pengaturan → Keamanan dan pastikan pilihan “Sumber tidak dikenal” dimatikan.

Selain itu, dianjurkan juga untuk mengubah login dan password default router. Agar malware seperti Switcher atau Mirai tidak bisa mengambil alih router menggunakan metode brute force.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!