Хакерска група получи достъп до сървъра на NoxPlayer infra и изпрати зловреден софтуер на няколко потребители в Азия, но BigNow твърди, че проблемът е отстранен.
Потребителите на NoxPlayer внимавайте. Хакерска група е получила достъп до Android емулаторсървърната инфраструктура на и е изпратил зловреден софтуер на няколко потребители в Азия. Словашката фирма за сигурност ESET наскоро откри атаката и посъветва засегнатите потребители на NoxPlayer да преинсталират емулатора, за да премахнат зловредния софтуер от системите си.
За незнаещите, NoxPlayer е Android емулатор, който е популярен сред геймърите. Емулаторът се използва предимно за стартиране на Android игри на x86 компютри и е разработен от базирана в Хонконг компания, наречена BigNox. Според а скорошен доклад от ZDNet по въпроса хакерска група е получила достъп до един от официалните API на компанията (api.bignox.com) и сървъри за хостване на файлове (res06.bignox.com). Използвайки този достъп, групата е променила URL адреса за изтегляне на актуализации на NoxPlayer в API сървъра, за да достави зловреден софтуер на потребителите.
В отчет по отношение на атаката ESET разкрива, че е идентифицирала три различни фамилии зловреден софтуер, които са „разпространени от персонализирани злонамерени актуализации за избрани жертви, без признаци за привличане на финансова печалба, а по-скоро с възможности, свързани с наблюдение.“
Освен това ESET разкрива, че въпреки че нападателите са имали достъп до сървърите на BigNox поне от септември 2020 г., те не са се насочили към всички потребители на компанията. Вместо това нападателите се фокусираха върху конкретни машини, което предполага, че това е силно насочена атака, която иска да зарази само определен клас потребители. Към момента, натоварените със зловреден софтуер актуализации на NoxPlayer са доставени само на пет жертви, намиращи се в Тайван, Хонг Конг и Шри Ланка. ESET обаче препоръчва на всички потребители на NoxPlayer да бъдат внимателни. Фирмата за сигурност е изложила някои инструкции, за да помогне на потребителите да разберат дали системата им е била компрометирана в своя доклад.
В случай, че потребителите открият проникване, те трябва да преинсталират NoxPlayer от чист носител. Некомпрометираните потребители се съветват да не изтеглят никакви актуализации, докато BigNox не уведоми, че е смекчил заплахата. Това каза говорител на BigNox ZDNet че компанията работи с ESET за допълнително разследване на пробива.
След публикуването на тази статия, BigNox се обърна към ESET, заявявайки, че са предприели следните стъпки за подобряване на сигурността за своите потребители:
- Използвайте само HTTPS за доставяне на софтуерни актуализации, за да сведете до минимум рисковете от отвличане на домейн и атаки Man-in-the-Middle (MitM)
- Внедрете проверка на целостта на файла с помощта на MD5 хеширане и проверки на подпис на файл
- Приемете допълнителни мерки, по-специално криптиране на чувствителни данни, за да избегнете разкриването на личната информация на потребителите
Освен това компанията каза на ESET, че е изпратила най-новите файлове към сървъра за актуализиране на NoxPlayer и че при стартиране инструментът ще извърши проверка на файловете, инсталирани преди това на машините на потребителите.
Тази статия беше актуализирана в 11:22 ч. ET на 3 февруари 2021 г., за да добави изявление от BigNox, разработчиците на NoxPlayer.