En hackergruppe fik adgang til NoxPlayers server-infra og har skubbet malware til nogle få brugere i Asien, men BigNow hævder, at problemet er løst.
NoxPlayer-brugere pas på. En hackergruppe har fået adgang til Android emulator's serverinfrastruktur og har skubbet malware til nogle få brugere i Asien. Det slovakiske sikkerhedsfirma ESET opdagede for nylig angrebet, og det har rådet berørte NoxPlayer-brugere til at geninstallere emulatoren for at fjerne malwaren fra deres systemer.
For de uvidende er NoxPlayer en Android-emulator, der er populær blandt spillere. Emulatoren bruges primært til at køre Android-spil på x86-pc'er, og den er udviklet af et Hong Kong-baseret firma kaldet BigNox. Ifølge en seneste rapport fra ZDNet i sagen har en hackergruppe fået adgang til en af virksomhedens officielle API (api.bignox.com) og fil-hosting-servere (res06.bignox.com). Ved at bruge denne adgang har gruppen pillet ved download-URL'en for NoxPlayer-opdateringer på API-serveren for at levere malware til brugerne.
I en rapport vedrørende angrebet afslører ESET, at det har identificeret tre forskellige malware-familier, der er i gang "distribueret fra skræddersyede ondsindede opdateringer til udvalgte ofre, uden tegn på at udnytte nogen økonomisk gevinst, men snarere overvågningsrelaterede kapaciteter."
ESET afslører endvidere, at selvom angriberne havde adgang til BigNox-servere siden mindst september 2020, var de ikke målrettet mod alle virksomhedens brugere. I stedet fokuserede angriberne på specifikke maskiner, hvilket tyder på, at dette var et meget målrettet angreb, der kun ville inficere en bestemt klasse af brugere. Indtil videre er de malware-ladede NoxPlayer-opdateringer kun blevet leveret til fem ofre i Taiwan, Hong Kong og Sri Lanka. ESET anbefaler dog alle NoxPlayer-brugere at være forsigtige. Sikkerhedsfirmaet har lagt nogle instruktioner for at hjælpe brugere med at finde ud af, om deres system er blevet kompromitteret i sin rapport.
Hvis brugere finder en indtrængen, skal de geninstallere NoxPlayer fra rene medier. Ikke-kompromitterede brugere rådes til ikke at downloade nogen opdateringer, før BigNox giver besked om, at det har mindsket truslen. Det har en talsmand for BigNox fortalt ZDNet at virksomheden samarbejder med ESET om at undersøge bruddet nærmere.
Efter offentliggørelsen af denne artikel kontaktede BigNox ESET, at de har taget følgende skridt for at forbedre sikkerheden for deres brugere:
- Brug kun HTTPS til at levere softwareopdateringer for at minimere risikoen for domænekapring og Man-in-the-Middle (MitM)-angreb
- Implementer verifikation af filintegritet ved hjælp af MD5-hashing og kontrol af filsignatur
- Vedtag yderligere foranstaltninger, især kryptering af følsomme data, for at undgå at afsløre brugernes personlige oplysninger
Virksomheden fortalte endvidere ESET, at det har skubbet de seneste filer til NoxPlayers opdateringsserver, og at værktøjet ved opstart vil køre en kontrol af de filer, der tidligere er installeret på brugernes maskiner.
Denne artikel blev opdateret kl. 11:22 ET den 3. februar 2021 for at tilføje en erklæring fra BigNox, udviklerne af NoxPlayer.