Un groupe de pirates a accédé à l'infrastructure du serveur de NoxPlayer et a propagé des logiciels malveillants vers quelques utilisateurs en Asie, mais BigNow affirme que le problème est résolu.
Méfiez-vous des utilisateurs de NoxPlayer. Un groupe de hackers a eu accès au Émulateur AndroidL'infrastructure du serveur et a poussé les logiciels malveillants vers quelques utilisateurs en Asie. La société de sécurité slovaque ESET a récemment découvert l'attaque et a conseillé aux utilisateurs de NoxPlayer concernés de réinstaller l'émulateur pour supprimer le malware de leurs systèmes.
Pour ceux qui ne le savent pas, NoxPlayer est un émulateur Android populaire parmi les joueurs. L'émulateur est principalement utilisé pour exécuter des jeux Android sur des PC x86 et est développé par une société basée à Hong Kong appelée BigNox. Selon un rapport récent depuis ZDNet à ce sujet, un groupe de hackers a eu accès à l'un des serveurs officiels d'API (api.bignox.com) et d'hébergement de fichiers (res06.bignox.com) de l'entreprise. En utilisant cet accès, le groupe a falsifié l'URL de téléchargement des mises à jour de NoxPlayer sur le serveur API pour transmettre des logiciels malveillants aux utilisateurs.
Dans un rapport Concernant l'attaque, ESET révèle avoir identifié trois familles de malwares différentes qui sont en cours d'exécution. "distribués à partir de mises à jour malveillantes sur mesure à des victimes sélectionnées, sans aucun signe de gain financier, mais plutôt de capacités liées à la surveillance."
ESET révèle en outre que même si les attaquants avaient accès aux serveurs BigNox depuis au moins septembre 2020, ils n'ont pas ciblé tous les utilisateurs de l'entreprise. Au lieu de cela, les attaquants se sont concentrés sur des machines spécifiques, ce qui suggère qu’il s’agissait d’une attaque très ciblée visant à infecter uniquement une certaine classe d’utilisateurs. Pour l'instant, les mises à jour de NoxPlayer chargées de logiciels malveillants n'ont été fournies qu'à cinq victimes situées à Taiwan, à Hong Kong et au Sri Lanka. Cependant, ESET recommande à tous les utilisateurs de NoxPlayer de rester prudents. La société de sécurité a présenté dans son rapport quelques instructions pour aider les utilisateurs à déterminer si leur système a été compromis.
Si les utilisateurs détectent une intrusion, ils doivent réinstaller NoxPlayer à partir d'un support propre. Il est conseillé aux utilisateurs non compromis de ne télécharger aucune mise à jour jusqu'à ce que BigNox informe qu'il a atténué la menace. Un porte-parole de BigNox a déclaré ZDNet que la société travaille avec ESET pour enquêter plus en détail sur la violation.
Suite à la publication de cet article, BigNox a contacté ESET pour lui indiquer qu'il a pris les mesures suivantes pour améliorer la sécurité de ses utilisateurs :
- Utilisez uniquement HTTPS pour fournir des mises à jour logicielles afin de minimiser les risques de piratage de domaine et d'attaques Man-in-the-Middle (MitM).
- Implémenter la vérification de l'intégrité des fichiers à l'aide du hachage MD5 et des vérifications de signature de fichiers
- Adopter des mesures supplémentaires, notamment le cryptage des données sensibles, pour éviter d’exposer les informations personnelles des utilisateurs
La société a en outre déclaré à ESET qu'elle avait transféré les derniers fichiers sur le serveur de mise à jour de NoxPlayer et qu'au démarrage, l'outil effectuerait une vérification des fichiers précédemment installés sur les machines des utilisateurs.
Cet article a été mis à jour à 11 h 22 HE le 3 février 2021 pour ajouter une déclaration de BigNox, les développeurs de NoxPlayer.