Hakkeriryhmä sai pääsyn NoxPlayerin palvelimeen infra ja on levittänyt haittaohjelmia muutamille käyttäjille Aasiassa, mutta BigNow väittää, että ongelma on korjattu.
NoxPlayer-käyttäjät varokaa. Hakkeriryhmä on päässyt käsiksi Android-emulaattoripalvelininfrastruktuurin ja on levittänyt haittaohjelmia muutamille käyttäjille Aasiassa. Slovakialainen tietoturvayritys ESET havaitsi äskettäin hyökkäyksen, ja se on neuvonut vaikuttavia NoxPlayer-käyttäjiä asentamaan emulaattorin uudelleen haittaohjelmien poistamiseksi järjestelmistään.
Tietämättömille NoxPlayer on Android-emulaattori, joka on suosittu pelaajien keskuudessa. Emulaattoria käytetään ensisijaisesti Android-pelien ajamiseen x86-tietokoneissa, ja sen on kehittänyt Hongkongilainen BigNox-niminen yritys. Mukaan a tuore raportti alkaen ZDNet Asiassa hakkeriryhmä on päässyt yhdelle yhtiön virallisesta API: sta (api.bignox.com) ja tiedostopalvelimista (res06.bignox.com). Käyttämällä tätä käyttöoikeutta ryhmä on peukaloinut NoxPlayer-päivitysten lataus-URL-osoitetta API-palvelimessa toimittaakseen haittaohjelmia käyttäjille.
Jonkin sisällä raportti Hyökkäykseen liittyen ESET paljastaa tunnistaneensa kolme erilaista haittaohjelmaperhettä "jaettu räätälöidyistä haitallisista päivityksistä valituille uhreille, ilman merkkejä taloudellisen hyödyn hyödyntämisestä, vaan pikemminkin valvontaan liittyvistä ominaisuuksista."
ESET paljastaa lisäksi, että vaikka hyökkääjillä oli pääsy BigNox-palvelimiin ainakin syyskuusta 2020 lähtien, he eivät kohdistaneet kohteen kaikkiin yrityksen käyttäjiin. Sen sijaan hyökkääjät keskittyivät tiettyihin koneisiin, mikä viittaa siihen, että kyseessä oli erittäin kohdennettu hyökkäys, joka halusi saastuttaa vain tietyn luokan käyttäjät. Toistaiseksi haittaohjelmia sisältävät NoxPlayer-päivitykset on toimitettu vain viidelle uhrille Taiwanissa, Hongkongissa ja Sri Lankassa. ESET kuitenkin suosittelee kaikkia NoxPlayer-käyttäjiä olemaan varovaisia. Turvayritys on laatinut raportissaan joitain ohjeita, joiden avulla käyttäjät voivat selvittää, onko heidän järjestelmänsä vaarantunut.
Jos käyttäjät löytävät tunkeutumisen, heidän tulee asentaa NoxPlayer uudelleen puhtaalta medialta. Vaarattomia käyttäjiä kehotetaan olemaan lataamatta päivityksiä ennen kuin BigNox ilmoittaa, että se on vähentänyt uhkaa. BigNoxin tiedottaja kertoi ZDNet että yritys tekee yhteistyötä ESETin kanssa tutkiakseen rikkomusta tarkemmin.
Tämän artikkelin julkaisemisen jälkeen BigNox otti yhteyttä ESETiin ja ilmoitti, että he ovat ryhtyneet seuraaviin toimiin parantaakseen käyttäjiensä turvallisuutta:
- Käytä vain HTTPS: ää ohjelmistopäivitysten toimittamiseen, jotta voit minimoida verkkotunnuksen kaappauksen ja Man-in-the-Middle (MitM) -hyökkäysten riskit
- Toteuta tiedostojen eheyden tarkastus käyttämällä MD5-tiivistettä ja tiedostojen allekirjoituksen tarkistuksia
- Ota käyttöön lisätoimenpiteitä, erityisesti arkaluontoisten tietojen salaamista, jotta käyttäjien henkilökohtaisia tietoja ei paljasteta
Lisäksi yritys kertoi ESETille, että se on työstänyt uusimmat tiedostot NoxPlayerin päivityspalvelimelle ja että työkalu tarkistaa käynnistyksen yhteydessä käyttäjien koneille aiemmin asennetut tiedostot.
Tämä artikkeli päivitettiin kello 11.22 ET 3. helmikuuta 2021, jotta siihen lisättiin NoxPlayerin kehittäjien BigNoxin lausunto.