Hakerska skupina dobila je pristup infra poslužitelju NoxPlayera i gurnula zlonamjerni softver na nekoliko korisnika u Aziji, ali BigNow tvrdi da je problem riješen.
NoxPlayer korisnici oprez. Hakerska skupina je dobila pristup Android emulatorinfrastrukturu poslužitelja i gurnuo je zlonamjerni softver nekolicini korisnika u Aziji. Slovačka sigurnosna tvrtka ESET nedavno je otkrila napad i savjetovala pogođenim korisnicima NoxPlayera da ponovno instaliraju emulator kako bi uklonili zlonamjerni softver iz svojih sustava.
Za one koji ne znaju, NoxPlayer je Android emulator koji je popularan među igračima. Emulator se prvenstveno koristi za pokretanje Android igara na x86 računalima, a razvila ga je tvrtka BigNox sa sjedištem u Hong Kongu. Prema a nedavno izvješće iz ZDNet po tom pitanju, hakerska grupa dobila je pristup jednom od službenih API-ja tvrtke (api.bignox.com) i servera za hosting datoteka (res06.bignox.com). Koristeći ovaj pristup, grupa je petljala s URL-om za preuzimanje ažuriranja NoxPlayera na API poslužitelju kako bi isporučila zlonamjerni softver korisnicima.
U izvješće u vezi s napadom, ESET otkriva da je identificirao tri različite obitelji zlonamjernog softvera koji se "distribuiran iz prilagođenih zlonamjernih ažuriranja odabranim žrtvama, bez znakova iskorištavanja bilo kakve financijske dobiti, već radije s mogućnostima vezanim uz nadzor."
ESET nadalje otkriva da iako su napadači imali pristup BigNox poslužiteljima barem od rujna 2020., nisu ciljali sve korisnike tvrtke. Umjesto toga, napadači su se usredotočili na određene strojeve, što sugerira da se radi o visoko ciljanom napadu koji želi zaraziti samo određenu klasu korisnika. Do sada su nadogradnje NoxPlayera pune zlonamjernog softvera isporučene samo petorici žrtava u Tajvanu, Hong Kongu i Šri Lanki. Međutim, ESET preporučuje svim korisnicima NoxPlayera da ostanu oprezni. Sigurnosna tvrtka je u svom izvješću dala neke upute kako bi korisnicima pomogla da otkriju je li njihov sustav bio ugrožen.
U slučaju da korisnici pronađu upad, trebali bi ponovno instalirati NoxPlayer s čistog medija. Nekompromitiranim korisnicima savjetuje se da ne preuzimaju nikakva ažuriranja dok BigNox ne obavijesti da je ublažio prijetnju. Glasnogovornik BigNoxa rekao je ZDNet da tvrtka radi s ESET-om na daljnjoj istrazi kršenja.
Nakon objave ovog članka, BigNox se obratio ESET-u navodeći da su poduzeli sljedeće korake za poboljšanje sigurnosti za svoje korisnike:
- Koristite samo HTTPS za isporuku ažuriranja softvera kako biste smanjili rizike od otmice domene i Man-in-the-Middle (MitM) napada
- Implementirajte provjeru integriteta datoteke pomoću MD5 raspršivanja i provjere potpisa datoteke
- Usvojite dodatne mjere, posebice enkripciju osjetljivih podataka, kako biste izbjegli izlaganje osobnih podataka korisnika
Tvrtka je dalje rekla ESET-u da je gurnula najnovije datoteke na NoxPlayerov poslužitelj za ažuriranje i da će, nakon pokretanja, alat pokrenuti provjeru datoteka koje su prethodno instalirane na korisničkim strojevima.
Ovaj je članak ažuriran u 11:22 ET 3. veljače 2021. kako bi se dodala izjava BigNoxa, programera NoxPlayera.