Le malware Switcher cible les réseaux Wi-Fi et utilise des appareils Android

Publié le 9 janvier 2017

2017 commence sur les chapeaux de roues pour les cybercriminels. Une nouvelle menace a fait son apparition et pourrait bien faire des ravages si elle arrive à se propager. Il s’agit du malware Switcher et son objectif est de parasiter le plus de réseaux Wi-Fi possible afin de récolter les données personnelles des utilisateurs.

Le Wi-Fi en ligne de mire

Ce sont les équipes de Kaspersky qui ont repéré pour la première fois Switcher. Les chercheurs ont donc pu analyser son mode de fonctionnement et ont découvert qu’il visait spécifiquement les réseaux W-Fi et plus particulièrement les routeurs. Pour y parvenir, il a besoin tout d’abord d’infiltrer un smartphone Android qui sert alors de vecteur.

Et pour arriver sur un smartphone, Switcher utilise la bonne vieille technique de l’application infectée. L’utilisateur, s’il n’est pas prudent et fréquente des stores d’applications alternatifs, peut télécharger un fichier vérolé qui contient Switcher. Parmi ces applications, l’une d’entre elle redirige tout simplement l’utilisateur vers la page d’accueil du moteur de recherche chinois Baidu. Le malware reste alors en attente jusqu’à ce que l’utilisateur se connecte à un réseau Wi-Fi.

Exemple d’application qui vous infecte avec Switcher

Malware Switcher contre le routeur

Lorsque l’utilisateur parvient à se connecter à un réseau Wi-Fi, Switcher prend le relai. Il va commencer par tenter de remplacer toutes les adresses des serveurs DNS du routeur. L’objectif est de renvoyer les victimes vers de faux sites internet qui permettent de récupérer des informations personnelles comme des mots de passe ou des données bancaires.

Le mode opératoire est assez classique : la force brute. Le malware va tout d’abord récupérer l’identifiant du réseau Wi-Fi et le transmettre aux cybercriminels afin de déterminer quel est le fournisseur d’accès à internet. Il va ensuite modifier les DNS après avoir accédé à l’interface de contrôle du réseau. Pour cela, il va rechercher les informations du compte administrateur en essayant toutes les combinaisons possibles jusqu’à tomber sur la bonne.

Afin de ne pas eveiller les soupçons, Switcher va seulement modifier le DSN principal et laissera le deuxième intact afin que les requêtes puissent tout de même aboutir si le DSN malveillant cesse de fonctionner.

Le fonctionnement de Switcher une fois les DNS modifiés

Selon le chercheur de Kaspersky, Switcher aurait déjà infecté pas moins de 1280 réseaux Wi-Fi, en particulier en Chine.

Se protéger de Switcher

Evidemment, les chances que Switcher arrive chez nous existent. Alors pour ne pas se faire avoir, nous ne pouvons que vous conseiller ne pas télécharger d’applications sur les magasins alternatifs et de vous cantonner au Google Play qui est le plus sécurisé. En cas de doute, n’hésitez pas aussi à télécharger un antivirus pour votre smartphone ou votre tablette Android. Il peut vous être utile en cas de problème.

Source (Securelist)