Certaines cyberattaques constituent des tournants historiques qui forcent à revoir complètement les pratiques et à imaginer de nouvelles parades. C’était le cas d’AndroidOS Switcher, un cheval de Troie identifié à la fin de l’année 2016. Son originalité ? Il cherchait à prendre le contrôle des réseaux Wi-Fi auxquels les smartphones infectés se connectaient.
Des ralentissements inhabituels, des applications qui apparaissent ou disparaissent sans raison… les symptômes d’une attaque en cours sont parfois visibles. Mais souvent beaucoup moins. C’est en partant de ce postulat que des hackers ont développé AndroidOS Switcher. Ce dernier leur a ainsi permis, en quelques semaines, de prendre le contrôle de 1300 réseaux WiFi, privés et publics.
Pour assurer la propagation du cheval de Troie, les concepteurs de ce malware ont développé deux applications. La première imitait le moteur de recherche chinois Baidu, la seconde était censée permettre de partager des mots de passe de Hotspots publics.
Le mode opératoire
Une fois les applis installées, AndroidOS Switcher établissait la communication avec le serveur de commandes auquel les hackers étaient connectés. Quand l’appareil infecté s’identifiait sur un point d’accès sans-fil, AndroidOS Switcher piratait le routeur Wi-Fi et craquait les identifiants administrateur de façon à accéder aux paramètres de configuration. Le malware utilisait pour cela une faille de sécurité présente notamment sur les routeurs de TP Link.
Après avoir pris le contrôle du réseau Wi-Fi, le cheval de Troie remplaçait l’adresse par défaut du serveur DNS par une adresse malveillante, et ajoutait un serveur Google légitime comme DNS secondaire. Résultat, la supercherie était indétectable.
La finalité
Les données captées par les hackers étaient ensuite analysées afin d’y récupérer identifiants, mots de passe et coordonnées bancaires qui étaient ensuite revendues sur le Dark Web.
Les enseignements
AndroidOS Switcher a mis en lumière les failles de sécurité qui peuvent frapper les routeurs sans fil. Il rappelle également la nécessité de ne pas installer d’applications de sources inconnues et l’importance de modifier régulièrement les mots de passe des routeurs sans fil et de tous les répéteurs qui y sont connectés. Dernier enseignement tiré de cette attaque : les administrateurs réseau ont désormais comme consigne de vérifier que les DNS utilisés par le routeur correspondent bien à ceux du fournisseur d’accès à Internet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.