In tempi molto recenti, i ricercatori di Kasperky Lab si sono portati a conoscenza di un nuovo tipo di malware che, attraverso l’installazione di un’app Android esca, insidia un pericoloso circuito di accesso a siti malevoli, modificando i DNS di riferimento dal webserver del router in qualità di amministratore di rete.
Di fatto, attraverso una serie di DNS sospetti, i router reindirizzano l’utente in rete su portali di dubbia provenienza, mascherandosi dietro un’app Android da utilizzare per il motore di ricerca cinese Baidu che, in questo caso, apre l’accesso ad un attacco brute-force in cui il malware tenta l’accesso attraverso un dizionario di nomi utente e password predefiniti. In tal caso, quindi, sarebbe buona norma utilizzare credenziali di accesso robuste che esulino dai classico admin/admin o admin/password.
Il fenomeno, allo stato attuale, pare possa essere circoscritto alla sola Cina, sebbene su questo non vi sia, per il futuro, alcuna garanzia. Gli esperti rilevano che gli IP contraffatti sono: 101.200.147.153, 112.33.13.11 e 120.76.249.59. Il nuovo malware ha colpito 1.300 router (per la maggior parte TP-Link). Il consiglio, che vale qui ed in linea generale, è quello di procedere ad installazioni verificate dal Play Store, diffidando dalle Sorgenti Sconosciute che, come noto, possono sempre nascondere delle pericolose insidie.
