Quindi aprendo un'applicazione / browser sul mio dispositivo Android, ho scoperto che apre una serie di annunci. Ho canalizzato un proxy attraverso il mio portatile cercando di rintracciare il primo sito web a cui si connette. Più tardi ho scoperto che il mio router DNS è lo stesso di quel server che apre gli annunci. Inoltre ho trovato che il mio /etc/resolv.conf contiene lo stesso DNS ma è stato stampato dal gestore di rete. Quindi gli scenari sono:
- Il mio dispositivo mobile è stato infettato e l'utente malintenzionato ha avuto accesso al mio router poiché ha diversi tipi di vulnerabilità e ha modificato il DNS lì. Quindi il gestore di rete lo stampa sul mio /etc/resolv.conf
- Il mio laptop è stato infettato (altamente improbabile dal momento che è un nuovo dispositivo che non è installato nulla di non sicuro)
- L'hacker ha acceduto al router prima di tutto in qualche modo immaginato di infettare le app sul mio dispositivo Android e questa modifica del DNS in /etc/resolv.conf è avvenuta anche dal gestore di rete semplicemente copiando il DNS del router sul mio sistema
Quindi la domanda è come eseguire il debug di questa situazione? Come capire il problema principale qui, anche molte app sono infette sul mio dispositivo Android? Ho provato diversi antivirus ma senza fortuna. Apprezzerei anche una parola di consiglio su come riportare l'attaccante qui poiché credo che questo potrebbe essere una sorta di attacchi di massa sui router all'interno del mio intervallo di indirizzi IP.