Sì, questo potrebbe accadere in teoria. L'interfaccia web potrebbe essere falsificata dall'attaccante se riesce a ottenere il pieno controllo del router (ad esempio, riscrivere il firmware), in modo che il normale server DNS venga visualizzato nella pagina delle impostazioni, mentre in realtà viene utilizzato effettivamente un malware. In teoria, l'hacker potrebbe anche falsificare la funzione di aggiornamento del firmware, in modo che si pensi di aggiornare il firmware, ma il router è in effetti ancora vulnerabile.
Tuttavia, sarebbe un attacco abbastanza avanzato che dovrebbe essere adattato per il modello di router specifico, e non qualcosa di cui normalmente mi preoccuperei. Ma se ti senti insospettito, fai un reset di fabbrica.
Quindi il reset di fabbrica può essere manomesso? Probabilmente su alcuni modelli di router, se la memoria in cui è salvato lo stato originale è scrivibile. Inoltre, alcuni modelli potrebbero non ripristinare il firmware ma solo le impostazioni che lasciano il firmware infetto intatto. Ma ancora una volta, questo sarebbe qualcosa fuori dal comune e l'utente domestico medio dovrebbe perdere il sonno su di esso.