Entonces al abrir una aplicación / navegador en mi dispositivo Android, encontré que abre un conjunto de anuncios. Canalicé un proxy a través de mi computadora portátil tratando de rastrear el primer sitio web al que se conecta. Más tarde descubrí que el DNS de mi enrutador es el mismo que el servidor que abre los anuncios. También encontré que mi /etc/resolv.conf contiene el mismo DNS pero fue impreso por el administrador de la red. Así que los escenarios son:
- Mi dispositivo móvil estaba infectado y el atacante accedió a mi enrutador, ya que tiene diferentes tipos de vulnerabilidades y cambió el DNS allí. Luego el administrador de red lo imprime en mi /etc/resolv.conf
- Mi computadora portátil estaba infectada (es muy poco probable, ya que es un nuevo dispositivo que no está instalado, no es de confianza)
- El atacante accedió primero al enrutador y luego a algunas formas de cómo infectar aplicaciones en mi dispositivo Android y este cambio de DNS en /etc/resolv.conf también sucedió por el administrador de la red simplemente copiando los dns del enrutador en mi sistema
¿Entonces la pregunta es cómo depurar esta situación? ¿Cómo resolver el problema principal aquí, también muchas aplicaciones están infectadas en mi dispositivo Android? Probé diferentes antivirus pero no tuve suerte. También agradecería un consejo sobre cómo informar al atacante aquí, ya que creo que esto podría ser una especie de ataques masivos a los enrutadores dentro de mi rango de direcciones IP.