이 트로이목마는 안드로이드 기기 사용자를 매개체로 삼아 와이파이 라우터를 감염시킨다. 이후 해당 라우터의 도메인네임시스템(DNS) 설정을 변경시켜 해당 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 한다.
스위처 트로이목마는 주로 사용자가 해커가 운영하는 웹사이트에서 악성코드를 다운로드 하는 방식으로 감염된다. 정상적인 프로그램으로 가장한
이 악성코드는 두 가지로 구성된다. 중국 검색 엔진인 바이두(Baidu)의 안드로이드 클라이언트로 위장한 버전과 와이파이 네트워크 정보를 공유하는 중국의 유명 앱 ‘
와이파이만능월시(WiFi万能匙)’를 위조한 버전이다.
감염된 기기가 무선 네트워크와 연결되면, 이 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자
인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 보조 DNS까지 마련해 놓는다.
현재까지 이 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1280개에 달한다.
카스퍼스키랩은 사용자가 DNS 설정을 점검하고, ▲101.200.147.153 ▲112.33.13.11 ▲120.76.249.59에 해당하는 악성 DNS 서버가 있는지 확인할 것을 요청했다.
DNS 설정에서 이들 서버 중 하나라도 보이면 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 와이파이 네트워크 소유자에게 경고해야 한다. 또, 공격 가능성을 차단하기 위해 라우터 관리자 웹 인터페이스의 기존 아이디와 암호를 변경해야 한다고 조언했다.
* 출처 : http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=138&aid=0002046714
'Security_News > 해외보안소식' 카테고리의 다른 글
| 와츠앱, 종단간 암호화 메시지에 백도어가 발견되었다는 소식 (0) | 2017.01.14 |
|---|---|
| FTC, 라우터 및 카메라 취약점문제로 디링크 고소 (0) | 2017.01.09 |
| 킬디스크 변종, 랜섬웨어로 사용 (0) | 2017.01.05 |
| LG 스마트 티비 랜썸웨어 감염 영상 (0) | 2017.01.04 |
| 크리스마스 이브에 나타난 ‘DeriaLock’ 랜섬웨어 (0) | 2017.01.04 |