卡巴斯基实验室的研究人员发现了一款新 Android 木马——"Switcher"，能够黑掉路由器并更改其 DNS 设置，以流量重定向到恶意网站。

　　被称为"Switcher"的Android 木马伪装的中文搜索引擎百度的安卓客户端，以及分享Wi-Fi 网络详细信息的中文版应用。一旦用户安装这些应用程序之一，恶意软件将猜测Wi-Fi 路由器的用户名和密码，并感染相连的 Android 设备。

　　"Switcher"包含了二十多个用户名密码，用于访问路由器的 web 管理界面，例如：admin:admin、 admin:123456 或 admin:00000000 等组合。

　　其它例如：

　　admin:00000000

　　admin:admin

　　admin:123456

　　admin:12345678

　　admin:123456789

　　admin:1234567890

　　admin:66668888

　　admin:1111111

　　admin:88888888

　　admin:666666

　　admin:87654321

　　admin:147258369

　　admin:987654321

　　admin:66666666

　　admin:112233

　　admin:888888

　　admin:000000

　　admin:5201314

　　admin:789456123

　　admin:123123

　　admin:789456123

　　admin:0123456789

　　admin:123456789a

　　admin:11223344

　　admin:12312312

　　"Switcher"使用Java 帮助它使用不同的用户名和密码组合尝试登录。硬编码和程序尝试访问的 HTML 文档的结构来看，这些Java 代码只能针对TP-LINK 无线路由器的 web 界面。

　　如果可以访问 web 管理界面，特洛伊木马会将设备的主、 辅 DNS 服务器指向流氓 DNS 服务器的 IP 地址。这些地址是 ：101.200.147.153、 112.33.13.11 和 120.76.249.59 — — 一个是默认选项，而其他两个都设置为特定的 Isp。

　　通过这些DNS，恶意代码经会将访问重定向到恶意网站，而不是受害者试图访问合法网站。根据卡巴斯基，罪犯可以利用的网站近1,300，主要来自中国。

　　这种通过修改无线路由DNS设置的流量劫持，如果与渗透相结合，则十分难以防范。

　　进一步代码的详细分析，敬请期待 Malwarebenchmark~！后续文章