Un des conseils les plus importants en cybersécurité est qu’on ne devrait jamais saisir des identifiants, mots de passe, informations de carte bancaire, etc., si la page URL ne nous semble pas fiable. Des liens bizarres sont parfois le signe qu’il y a danger. Si vous voyez par exemple Twiter.com au lieu de Twitter.com, cela signifie que le lien est louche et donc, il peut s’agir d’un malware mené par un cybercriminel.
Mais que se passe-t-il si la fausse page web est hébergée sur la page légitime ? Il s’avère que ce scénario est en réalité plausible, et les hackers n’ont même pas besoin de pirater le serveur hébergeant la page ciblée. Dans ce cas, il est beaucoup plus difficile pour l’utilisateur de se rendre compte.
Lorsque un hacker détourner et ensuite modifie les requêtes DNS, il change l’extension liée à une adresse, c’est à dire, le Domain Name System de sorte que chaque fois que vous saisissez l’adresse de site web dans la barre d’adresse du navigateur, au lieu de vous envoyer jusqu’au serveur DNS désigné et recevoir l’adresse du domaine dont vous avez besoin, il vous envoie la nouvelle version de l’adresse qu’il a changé sans que vous l’apercevez.
Par exemple, lorsque vous entrez google.com, le serveur DNS correspondant répond à l’adresse IP 87.245.200.153, là où vous êtes effectivement redirigé.
Le problème donc est que les malfaiteurs sont capables de créer leur propre serveur DNS qui répond avec une adresse redirigeant vers un faux site web, à la place d’une page légitime et que pourrait héberger un site web malveillant.
Cette méthode est appelée manipulation de l’espace des noms de domaine (DNS) et c’est de cette façon que les créateurs du cheval de Troie Switcher ont utilisé:
Les développeurs de Switcher ont créé une paire d’applications Android, l’une d’entre elles imite Baidu (une application chinoise similaire à Google), tandis que l’autre se fait passer pour une application de recherche de mots de passe de Wi-Fi public, qui aide les utilisateurs à partager des mots de passe de hotspots publics.
Une fois que l’application malveillante infiltre le smartphone visé qui est connecté à un réseau Wi-Fi, elle communique avec le serveur de commande et contrôle (C&C) et signale que le cheval de Troie a été activé sur un réseau en particulier et elle fournit également un identifiant de réseau.
Switcher commence alors à pirater le routeur Wi-Fi en tentant plusieurs identifiants de l’administrateur afin de s’identifier sur l’interface des paramètres. Si le cheval de Troie réussit à identifier les bons identifiants, il se rend sur la page de configuration du routeur et remplace l’adresse légitime par défaut du serveur DNS par une adresse malveillante.
Sur la majorité des réseaux sans fil, les appareils obtiennent leurs paramètres de réseau (y compris l’adresse d’un serveur DNS) depuis les routeurs, de façon à ce que tous les utilisateurs qui se connectent à un réseau piraté utilisent le serveur DNS malveillant par défaut.
Si les chiffres de Switcher sont précis, en moins de quatre mois, le malware a réussi à infecter 1280 réseaux Wi-Fi dont le trafic généré par les utilisateurs était à disposition des hackers.
