Троян Switcher зламує Wi-Fi-роутери і підміняє DNS
Один з найпоширеніших - і найважливіших - рад з кібербезпеки звучить так: ніколи не вводьте логіни, паролі, дані кредитних карт і так далі, якщо з адресою посилання щось не так. Це небезпечно. Якщо замість facebook.com ви бачите, наприклад, fasebook.com або щось в такому дусі, нічого хорошого від такої сторінки чекати не варто. 
Але що, якщо підроблена сторінка міститься по справжньому адресою? Виявляється, такий неприємний варіант теж можливий, і для цього лиходіям навіть не треба зламувати сервер, на якому зберігається заповітна сторінка. Ось як це працює.
Справа в тому, що звичні нам «людські» адреси сторінок є надбудовою над справжніми IP-адресами, з якими насправді і працює Мережа. Ця надбудова називається DNS - Domain Name System, система доменних імен. Кожен раз, коли ви вводите в рядку браузера адресу сайту в звичному вам форматі, комп'ютер надсилає запит спеціальному DNS-сервера, який повертає IP-адресу потрібного вам домену.
Наприклад, якщо ввести в рядку браузера google.com, то DNS-сервер поверне вам адресу 87.245.200.153 - і саме за цією адресою ви і перейдете насправді. Відбувається це приблизно так:
Штука в тому, що зловмисники можуть створити свій власний DNS-сервер, який буде перетворювати запит google.com в якийсь інший IP-адреса - наприклад, 6.6.6.6, за яким замість справжнього сайту буде розміщено підроблений. Цей метод називається підміна DNS (DNS hijacking).
Справа за малим: залишається якимось чином обдурити користувача, щоб він замість справжнього DNS-сервера використовував шкідливий, що перенаправляє на підроблений сайт. Ось як це завдання вирішили творці трояна Switcher.
Як діє троян Switcher
Вони створили пару програм для Android, одна з яких імітує додаток пошукової системи Baidu (це такий китайський Google), а друга - також досить популярну в Китаї утиліту для пошуку паролів до Wi-Fi-мереж, якими обмінюються користувачі.
Після того як додаток потрапляє на смартфон, підключений до Wi-Fi, воно пов'язується з командним сервером зловмисників і повідомляє, що троян активований в Wi-Fi-мережі з таким-то ідентифікатором.
Потім Switcher приступає до злому Wi-Fi-роутера: він по черзі перевіряє різні паролі адміністратора для входу в веб-інтерфейс настройки маршрутизатора. Якщо зважити на те, як влаштована ця частина трояна, на даний момент він вміє працювати тільки з роутерами TP-Link.
Після того як трояни вдається вгадати пароль, він заходить на сторінку мережевих налаштувань роутера і прописує в них адресу одного з шкідливих DNS-серверів в якості використовуваного за замовчуванням. А в якості запасного DNS-сервера троян вказує справжній DNS-сервер Google 8.8.8.8 - щоб користувач не помітив збоїв в разі відмови DNS-сервера зловмисників.
Оскільки в більшості бездротових мереж всі пристрої отримують мережеві настройки, і в тому числі адреси DNS-серверів, від роутера, то всі користувачі, що підключилися до вже захопленої зловмисниками Wi-Fi-мережі, автоматично будуть використовувати шкідливий DNS.
Про успіх операції троян повідомляє на командний сервер. На ньому нашим експертам крім усього іншого вдалося виявити статистику успішних атак, яку зловмисники з необережності залишили у відкритій частині сайту. 
Якщо вірити цій статистиці, за неповні чотири місяці роботи їм вдалося захопити вже 1280 бездротових мереж, і трафік всіх користувачів цих мереж може бути перенаправлений по команді зловмисників.
як захиститися
1. Щоб захистити свою бездротову мережу від подібних атак, слід правильно налаштувати роутер . В першу чергу - на сторінці налаштувань змінити пароль за замовчуванням на складний і надійний.
2. Не варто встановлювати підозрілі програми на свої Android-пристрої. На жаль, навіть в офіційних магазинах нерідко зустрічаються трояни .
3. Для повної впевненості краще всього використовувати на всіх пристроях надійний антивірус. До речі, можете встановити його прямо зараз - ось посилання на безкоштовну версію Kaspersky Antivirus & Security для Android : Він визначає цього троянця як Trojan.AndroidOS.Switcher і не дозволяє йому захопити вашу Wi-Fi-мережу.