{"id":9440,"date":"2016-12-28T13:30:42","date_gmt":"2016-12-28T13:30:42","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=9440"},"modified":"2019-11-22T12:23:59","modified_gmt":"2019-11-22T10:23:59","slug":"switcher-trojan-attacks-routers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/switcher-trojan-attacks-routers\/9440\/","title":{"rendered":"Switcher hackt WLAN-Router und \u00e4ndert das DNS"},"content":{"rendered":"

Einer der wichtigsten Hinweise bez\u00fcglich Cybersicherheit ist, dass Sie niemals Logins, Passw\u00f6rter, Kreditkarteninformationen, usw. eingeben sollten, wenn Sie denken, dass die Seiten-URL verd\u00e4chtig aussieht. Merkw\u00fcrdige Links weisen manchmal auf eine Gefahr hin. Sollten Sie z. B. fasebook.com statt facebook.com sehen, dann ist dieser Link verd\u00e4chtig.<\/p>\n

Aber was ist, wenn die falsche Seite auf einer legitimen<\/em> Seite gehostet ist? Es stellt sich heraus, dass dieses Szenarium sehr plausible ist \u2013 und Kriminelle m\u00fcssen den Server, der die Zielseite hostet, nicht einmal hacken. Werfen wir einen Blick darauf, wie das funktioniert.<\/p>\n

Experten von Kaspersky Lab fanden ein Exemplar einer Android-Malware, das die Einstellungen eines WLAN-Routers \u00e4ndert.<\/p>Tweet<\/a><\/blockquote>\n

Hijacking und dann \u00c4nderung der DNS-Anfragen<\/h2>\n

Der Trick hierbei ist, dass die normalaussehenden Webseiten Ad-Ons zu echten IP-Adressen sind, mit denen das Internet arbeitet. Dieses Ad-On nennt sich DNS \u2014 das Domain Name System. Jedes Mal, wenn Sie eine Webseiten-Adresse in die Adressleiste des Browsers eingeben, sendet Ihr Computer eine Anfrage an einen bestimmten DNS-Server, der die Adresse der ben\u00f6tigten Domain zur\u00fccksendet.<\/p>\n

Wenn Sie z. B. google.com <\/em>eingeben, gibt der jeweilige DNS-Server die IP-Adresse 87.245.200.153 zur\u00fcck \u2014 dahin werden Sie weitergeleitet. Das ist, kurz gefasst, wie so etwas geschieht:<\/p>\n

\"That's<\/a><\/p>\n

Die Sache ist die, dass Kriminelle ihren eigenen DNS-Server erstellen k\u00f6nnen, der eine andere<\/em> IP-Adresse (z. B. 6.6.6.6) als Antwort auf Ihre Anfrage \u201egoogle.com\u201c zur\u00fcckgibt, und diese<\/em> Adresse kann eine sch\u00e4dliche Webseite hosten. Diese Methode nennt sich DNS-Hijacking.<\/p>\n

\"That's<\/a><\/p>\n

Nun, der Erfolg h\u00e4ngt von einer Methode ab, mit der das Opfer einen sch\u00e4dlichen DNS-Server nutzt, der es statt zu einer legitimen zu einer falschen Webseite weiterleitet. Hier finden Sie, wie die Entwickler des Trojaners Switcher dieses Problem l\u00f6sten.<\/p>\n

Wie Switcher funktioniert<\/h3>\n

Die Entwickler von Switcher erstellten mehrere Android-Apps, von denen eine Baidu imitiert (eine chinesische App zur Websuche, analog zu Google), und eine andere, die vorgibt, eine \u00f6ffentliche WLAN-Passwort-Suchanwendung zu sein, mit der User Passw\u00f6rter von \u00f6ffentlichen Hotspots teilen k\u00f6nnen; diese Art von Dienst ist in China ebenfalls sehr beliebt.<\/p>\n

Sobald die sch\u00e4dliche App in das mit einem WLAN-Netzwerk verbundene Smartphone eingedrungen ist, kommuniziert es mit einem Command-and-Control- (C&C-) Server und berichtet, dass der Trojaner in einem bestimmten Netzwerk aktiviert wurde. Es stellt auch eine Netzwerk-ID bereit.<\/p>\n

Dann beginnt Switcher damit, den WLAN-Router zu hacken. Er testet verschiedene Anmeldedaten, um sich in die Einstellungsschnittfl\u00e4che einzuloggen. Wenn man nach der Funktionsweise des Trojaners urteilt, funktioniert die Methode momentan nur, wenn TP-Link-Router verwendet werden.<\/p>\n

Gelingt es dem Trojaner, die richtigen Anmeldedaten zu identifizieren, geht er zu der Einstellungsseite des Routers und \u00e4ndert die legitime Standard-DNS-Serveradresse zu einer sch\u00e4dlichen. Die Malware setzt auch einen legitimen Google-DNS-Server als sekund\u00e4re DNS-Adresse auf 8.8.8.8, um das Opfer zu beschwichtigen, sollte der sch\u00e4dliche DNS-Server nicht funktionieren.<\/p>\n

\"Switcher<\/a><\/p>\n

In den meisten drahtlosen Netzwerken erhalten die Ger\u00e4te ihre Netzwerkeinstellungen (einschlie\u00dflich der Adresse des DNS-Servers) von Routern, also benutzen alle User, die sich mit einem infizierten Netzwerk verbinden, standardm\u00e4\u00dfig den sch\u00e4dlichen DNS-Server.<\/p>\n

Der Trojaner berichtet dem C&C-Server von seinen Erfolgen. Unsere Experten, die ihn fanden, waren froh, Statistiken zu erfolgreichen Angriffen zu entdecken, die sorglos im \u00f6ffentlichen Teil der Webseite herumlagen.<\/p>\n

\"Networks<\/a><\/p>\n

Wenn die Zahlen von Switcher stimmen, hat es die Malware in weniger als vier Monaten geschafft, 1.280 drahtlose Netzwerke zu infizieren, mit all den Nutzer von solchen Hotspots, die den Kriminellen zur Verf\u00fcgung stehen.<\/p>\n

Wie Sie sich gegen diese Angriffe sch\u00fctzen<\/h3>\n

1. Verwenden Sie die richtigen Einstellungen des Routers<\/a>. \u00c4ndern Sie zun\u00e4chst das Standardpasswort zu einem anspruchsvolleren.<\/p>\n

2. Installieren Sie keine verd\u00e4chtigen Apps auf Ihrem Android-Smartphone. Bleiben Sie beim offiziellen App-Store \u2013 obwohl Trojaner ungl\u00fccklicherweise von Zeit zu Zeit einen Weg hinein finden<\/a>, sind offizielle App-Stores weit verl\u00e4sslicher als inoffizielle.<\/p>\n

3. Nutzen Sie einen robusten Antivirus auf all Ihren Ger\u00e4ten, um maximalen Schutz zu gew\u00e4hren. Sollte das bei Ihnen nicht der Fall sein, k\u00f6nnen Sie genau jetzt einen installieren: Hier ist ein Link zur kostenlosen Version von Kaspersky Antivirus & Security f\u00fcr Android<\/a>. Unser Antivirus-Produkt erfasst diese Malware als Trojan.AndroidOS.Switcher und sch\u00fctzt Ihr WLAN-Netzwerk vor ihm.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ein unkonventioneller Android-Trojaner macht nichts mit Ihrem Smartphone; stattdessen hackt er den WLAN-Hotspot, mit dem das Smartphone verbunden ist.<\/p>\n","protected":false},"author":421,"featured_media":9441,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[274,2384,208,380,2383,257,81],"class_list":{"0":"post-9440","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-bedrohungen","10":"tag-dns","11":"tag-hacking","12":"tag-router","13":"tag-switcher","14":"tag-trojaner","15":"tag-wlan"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/switcher-trojan-attacks-routers\/9440\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/5811\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/10628\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/8754\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/switcher-trojan-attacks-routers\/9808\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/switcher-trojan-attacks-routers\/9544\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/switcher-trojan-attacks-routers\/6477\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/switcher-trojan-attacks-routers\/7100\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/switcher-trojan-attacks-routers\/5884\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/switcher-trojan-attacks-routers\/13538\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/switcher-trojan-attacks-routers\/13771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9440","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=9440"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9440\/revisions"}],"predecessor-version":[{"id":21070,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9440\/revisions\/21070"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/9441"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=9440"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=9440"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=9440"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}