Android cep telefonlarda ve tabletlerde router (brute forca) saldırısı ortaya çıktı. Yeni bir zararlı yazılım mobil cihazlarda yönetici (admin) erişimi yaptırıyor. Wi-Fi ağlarına da saldırıyor!
Kaspersky güvenlik firmasının tespit ettiği Switcher adının verildiği Android işletim sistemlerine sahip cihazlarda router saldırısı yapan bir zararlı yazılım ortaya çıktı.
Switcher, Android sistemlerine router’ lara saldırılması için taşıyıcı olarak çıkarılan bu yazılım, varsayılan mevcut şifrelerin listesini kullanıp brute forca saldırısı oluşturarak yönetici girişini sağlıyor.
Çin’ de sahte Baidu mobil istemci üzerinden kullanıcılarını vuruyor. Aynı zamanda Wi-Fi ağlarını da hedef alıyor. Eriştiği ağlarda bulunan cihazlara ulaşarak yayılmaya çalışıyor. Eriştiği cihazlarda DNS adreslerini değiştirerek yeni bir güvenlik zafiyeti oluşturuyor.
Bu yeni virüs için henüz mobil cihazlarda bir güvenlik önlemi alınmadı. Git gide bilgisayarlarda görülen virüsler mobil cihazlara da ulaşıyor.
Android Router Saldırısı: Switcher Trojan
8 yıl kadar önce güvenlik araştırmacıları, Android cihazları hedefleyen yeni bir truva atı keşfetti: Switcher Trojan. Bu zararlı yazılım, doğrudan kullanıcı cihazlarına saldırmak yerine, bağlı oldukları Wi-Fi ağlarının router’larına saldırıyordu. Switcher, router’ın DNS ayarlarını değiştirerek tüm ağ trafiğini siber suçluların kontrolündeki sunuculara yönlendiriyordu.
Switcher Trojan, iki farklı yöntemle yayılıyordu:
- Baidu Mobil İstemcisi Kılığına Girme: Bu versiyon, popüler Çin arama motoru Baidu’nun mobil istemcisi gibi davranarak kullanıcıları kandırıyordu.
- Wi-Fi Bilgi Paylaşım Uygulaması Kılığına Girme: Diğer versiyon, kullanıcıların Wi-Fi şifrelerini paylaşmasına olanak tanıyan popüler bir uygulamanın sahte versiyonuydu.
Truva atı, yüklendikten sonra şu adımları izliyordu:
- Ağ Bilgilerini Toplama: Bağlı olduğu Wi-Fi ağının BSSID bilgisini topluyor ve kontrol sunucusuna gönderiyordu.
- Brute-Force Saldırısı: Router’ın admin arayüzüne kaba kuvvet saldırısı yaparak giriş yapmaya çalışıyordu.
- DNS Ayarlarını Değiştirme: Başarılı bir girişten sonra router’ın DNS ayarlarını değiştiriyor, tüm trafiği siber suçluların kontrolündeki DNS sunucularına yönlendiriyordu.
Neden Tehlikeli?
DNS hijacking, internet kullanıcılarının sahte web sitelerine yönlendirilmesine neden olabilir. Bu tür saldırılar, kullanıcıların kişisel bilgilerini çalma, zararlı yazılımları yayma ve çeşitli dolandırıcılık faaliyetleri için kullanılabilir. Switcher, router ayarlarını değiştirerek ağdaki tüm cihazları etkileyebiliyordu, bu da saldırının kapsamını oldukça genişletiyordu.
Güvenlik Önerileri
Bu tür saldırılardan korunmak için şunlar önerilir:
- Router Şifrelerini Değiştirin: Varsayılan admin şifrelerini güçlü ve benzersiz şifrelerle değiştirin.
- Güncellemeleri Takip Edin: Router firmware güncellemelerini düzenli olarak kontrol edin ve yükleyin.
- DNS Ayarlarını Kontrol Edin: DNS ayarlarınızı düzenli olarak kontrol edin ve herhangi bir anormallik tespit ettiğinizde gerekli adımları atın.