“Switcher”安卓木马攻击TP-LINK路由器 伪装为百度APP 已经控制了近1300个无线网络

安全研究人员发现“Switcher”新安卓（Android）木马，这个安卓木马能够黑入路由器，更改其DNS设置，从而试图将流量重定向至恶意网站。一旦用户被诱导至恶意网站，有被二次钓鱼攻击的可能。

新安卓木马Switcher会伪装成百度APP

此恶意软件称为“Switcher”，它伪装成中国搜索引擎百度以及一个分享Wi-Fi网络详情的中文版应用的安卓用户。若用户安装了其中一个应用，该恶意软件就会试图猜测当前安卓设备连接的Wi-Fi路由器的用户名和密码。

Switcher包含20多个用户名和密码组合，例如 admin:admin 、 admin:123456 或 admin:00000000 ， 可用于访问路由器的 web 管理接口 。利用JavaScript，Switcher木马会尝试使用不同的登录和密码组合进行登录。

卡巴斯基实验室的移动安全专家在一篇博文中提到，

“借助JavaScript，该恶意软件利用各种登录凭证和密码的组合进行登录尝试。从该木马试图访问的HTML文档的结构及其输入字段的硬编码名称看，JavaScript代码只用于访问TP-LINK Wi-Fi路由器的web接口。”

新安卓木马Switcher将攻击当前网络中的所有路由器 一旦成功入侵就修改DNS

若能够访问web管理接口，该木马将设备的DNS主从服务器的IP地址修改为恶意DNS服务器的IP地址。这些恶意IP地址为 101.200.147.153 、 112.33.13.11 和 120.76.249.59 。其中一个为默认选项，其余两个用于特定的 ISP 服务。

Buchka表示，“恶意代码混乱不堪，它们设计用于通过异步方式执行，向多种路由器发起行动。”

由于路由器的DNS设置被修改为攻击者所控制的机器的配置，流量也就不会发送至受害者试图访问的合法网站，而是被重定向至恶意网站。卡巴斯基表示，网络犯罪分子声称已入侵了近1300个网站，这些网站大部分都是中国的网站。

“该木马将整个网络作为入侵目标，将其所有用户，包括个人或企业，置于一系列攻击之中。”Buchka说，“由于恶意的DNS设置在路由器重启后仍有效，而且即使恶意DNS主服务器被禁用，攻击者会转而利用备用服务，因此，攻击一旦成功，受害者将很难检测和摆脱他们。”

新安卓木马Switcher主要攻击TP-LINK无线路由器

安全专家表示，目前根据输入字段的硬编码名称和木马尝试访问的HTML文档的结构来看，所使用的JavaScript代码仅适用于TP-LINK无线路由器的Web界面，当然不排除其他品牌路由器也会受该恶意软件的影响。

据研究人员表示，目前攻击者宣称已控制了近1300个无线网络，受害者主要在中国。而且该木马的目标是互联网上的所有用户，无论是企业还是个人一旦中招，都会面临从网络钓鱼到二次感染的各种各样攻击，因此务必警惕。