SHARE

Tim Peneliti malware di Kaspersky Lab kembali menemukan malware jenis baru pada android yang mereka beri nama Switcher. Malware ini mereka kategorikan sebagai Trojan. Trojan Switcher ini memiliki kemampuan yang unik daripada trojan pada umumnya karena alih-alih menyerang korbannya yang berhasil diinfeksi dia justru malah menyerang jaringan Wi-Fi atau lebih tepatnya menyerang pada router wirelessnya dimana smartphone Android tersebut sedang terkoneksi.

Trojan ini akan mencoba masuk ke halaman web router tersebut dengan menebak kombinasi username dan password yang umum dipakai menggunakan teknik bruteforce. Jika berhasil masuk, trojan tersebut akan mengganti konfigurasi DNS yang ada pada router tersebut sehingga semua komunikasi jaringan yang melewati router tersebut akan diarahkan ke DNS milik pelaku kriminal. Teknik merubah DNS ini juga biasa dikenal dengan istilah DNS-Hijacking.

Aplikasi Palsu Yang Telah Disusupi Trojan | sumber gambar: securelist.com

Tim dari Kaspersky Lab berhasil menemukan 2 buah aplikasi berbeda yang didalamnya telah tertanam trojan switcher ini. Aplikasi pertama berpura-pura sebagai aplikasi mesin pencarian Baidu, sebuah mesin pencarian yang cukup populer di China. Saat dibuka aplikasi ini akan membuka halaman website http://m.baidu.com. Aplikasi kedua merupakan versi palsu atau tiruan dari aplikasi yang sedang populer di China yakni Wifilocating. Sebuah aplikasi yang biasa dipakai untuk berbagi password dari berbagai Access Point Wi-Fi di seluruh dunia. Sebuah jenis aplikasi yang sangat cocok untuk menyembunyikan trojan ini karena pengguna aplikasi semacam ini pasti cukup sering terkoneksi dengan jaringan Wi-Fi

Aplikasi Kedua Yang Disusupi Trojan | sumber gambar: securelist.com

Proses Infeksi dan DNS-Hijacking

1. Trojan ini akan mencoba mendapatkan informasi BSSID (Broadcast Service Set Identifier) dari jaringan dimana dia terkoneksi. Informasi BSSID ini kemudian dikirimkan ke server Command & Control (C&C)

2. Trojan akan mencari tahu nama ISP penyedia layanan internet pada jaringan tersebut untuk menentukan alamat IP DNS mana yang akan dipakai. Ada 3 alamat IP berbeda yang dipakai trojan ini saat melakukan DNS-Hijacking yaitu 101.200.147.153, 112.33.13.11 dan 120.76.249.59. Secara default, trojan ini akan memakai IP yang pertama. Pada ISP tertentu alamat IP akan memakai yang kedua atau ketiga

3. Langkah selanjutnya adalah melancarkan serangan bruteforce ke halaman web router dengan kombinasi username dan password sebagai berikut

  • admin:00000000
  • admin:admin
  • admin:123456
  • admin:12345678
  • admin:123456789
  • admin:1234567890
  • admin:66668888
  • admin:1111111
  • admin:88888888
  • admin:666666
  • admin:87654321
  • admin:147258369
  • admin:987654321
  • admin:66666666
  • admin:112233
  • admin:888888
  • admin:000000
  • admin:5201314
  • admin:789456123
  • admin:123123
  • admin:789456123
  • admin:0123456789
  • admin:123456789a
  • admin:11223344
  • admin:123123123

Trojan ini menggunakan alamat default gateway dalam melancarkan serangan bruteforcenya. Dengan bantuan Javascript, trojan ini mencoba berbagai kombinasi username dan password. Jika dilihat dari kode Javascript yang tertulis pada trojan tersebut, serangan ini sepertinya hanya ditujukan terhadap router Wi-Fi merk TP-Link

Halaman Web Router | sumber gambar: securelist.com
Kode Javascript untuk merubah konfigurasi DNS | sumber gambar: securelist.com

4. Jika berhasil masuk kehalaman web router tersebut, trojan ini akan langsung mengganti konfigurasi DNS yang ada dengan alamat IP milik pelaku kriminal. DNS milik Google yakni 8.8.8.8 ditambahkan sebagai alamat DNS kedua untuk berjaga-jaga jika DNS utama (milik pelaku kriminal) tidak dapat diakses.

5. Setelah berhasil merubah konfigurasi DNS, trojan ini akan menginformasikannya ke server Command & Control (C&C)

Akibat dari DNS-Hijacking

Secara sederhana, DNS berfungsi untuk menerjemahkan alamat sebuah website menjadi alamat IP aslinya seperti terlihat pada gambar dibawah

Cara Kerja DNS | sumber gambar: securelist.com

Jika seorang pelaku kriminal berhasil melakukan DNS-Hijacking maka dia akan memiliki kemampuan untuk mengalihkan request pengguna ke alamat IP miliknya seperti terlihat pada gambar dibawah

DNS Setelah Diserang Trojan | sumber gambar: securelist.com

Alih-alih berkomunikasi dengan server aslinya, pengguna akan dialihkan ke server milik pelaku kriminal. Hal ini kemudian dapat dimanfaatkan pelaku kriminal untuk melancarkan serangannya lebih jauh seperti membuat website palsu untuk mendapatkan username dan password pengguna pada jaringan tersebut, mengalihkan request pengguna ke website yang terinfeksi malware, dan masih banyak lagi.

Berdasarkan data yang berhasil didapatkan oleh Tim Kaspersky Lab, setidaknya sudah ada 1280 Wi-Fi router yang telah terinfeksi oleh trojan ini. Untuk melakukan pengecekan apakah Wi-Fi router kita menjadi salah satu dari jumlah korban tersebut dapat dipastikan melalui konfigurasi DNS dan dicocokan dengan ketiga alamat IP yang dipakai oleh pelaku kriminal dibawah ini

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Jika ternyata memang ada, maka dapat disarankan untuk segera mengganti konfigurasi DNS pada router tersebut dan juga mengganti username dan password untuk masuk ke halaman web router untuk mencegah insiden ini terjadi kembali di kemudian hari.

Untuk tips aman dalam penggunaan smartphone dapat mengikuti tips berikut ini

Referensi:
Switcher: Android joins the ‘attack-the-router’ club

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.