ハッカーグループがNoxPlayerのサーバーインフラにアクセスし、アジアの少数のユーザーにマルウェアをプッシュしたが、BigNowは問題は解決されたと主張している。
NoxPlayerユーザーは注意してください。 ハッカーグループがアクセス権を取得しました Androidエミュレータのサーバー インフラストラクチャを攻撃し、アジアの少数のユーザーにマルウェアをプッシュしました。 スロバキアのセキュリティ企業ESETは最近この攻撃を発見し、影響を受けたNoxPlayerユーザーに対し、エミュレータを再インストールしてシステムからマルウェアを削除するよう勧告した。
ご存じない方のために説明すると、NoxPlayer はゲーマーの間で人気のある Android エミュレーターです。 このエミュレータは主に x86 PC で Android ゲームを実行するために使用され、香港に拠点を置く BigNox という会社によって開発されました。 によると 最近の報告 から ZDNet この問題では、ハッカー グループが同社の公式 API (api.bignox.com) とファイル ホスティング サーバー (res06.bignox.com) の 1 つにアクセスしました。 このアクセスを利用して、グループは API サーバー内の NoxPlayer アップデートのダウンロード URL を改ざんし、ユーザーにマルウェアを配信しました。
で 報告 この攻撃に関して、ESET は、攻撃されている 3 つの異なるマルウェア ファミリを特定したことを明らかにしました。 「カスタマイズされた悪意のあるアップデートによって特定の被害者に配布され、金銭的利益を利用する兆候はなく、むしろ監視関連の機能が使用されます。」
ESETはさらに、攻撃者が少なくとも2020年9月以降BigNoxサーバーにアクセスしていたにもかかわらず、同社のユーザー全員を標的にしていなかったことを明らかにした。 代わりに、攻撃者は特定のマシンに焦点を当てており、これは特定のクラスのユーザーのみに感染することを目的とした高度に標的を絞った攻撃であることを示唆しています。 現時点では、マルウェアを含む NoxPlayer アップデートは、台湾、香港、スリランカに住む 5 人の被害者にのみ配信されています。 ただし、ESETはすべてのNoxPlayerユーザーに注意を払うことをお勧めします。 セキュリティ会社は、レポートの中で、ユーザーが自分のシステムが侵害されているかどうかを判断するのに役立ついくつかの手順を説明しています。
ユーザーが侵入を見つけた場合は、クリーンなメディアから NoxPlayer を再インストールする必要があります。 侵害されていないユーザーは、BigNox が脅威を軽減したことを通知するまで、アップデートをダウンロードしないことをお勧めします。 BigNoxの広報担当者が明らかにした。 ZDNet 同社はESETと協力して侵害をさらに調査しているとのこと。
この記事の公開後、BigNox は ESET に連絡し、ユーザーのセキュリティを向上させるために次の措置を講じたと述べました。
- ドメインハイジャックや中間者 (MitM) 攻撃のリスクを最小限に抑えるために、ソフトウェア更新の配信には HTTPS のみを使用します。
- MD5 ハッシュとファイル署名チェックを使用したファイルの整合性検証を実装する
- ユーザーの個人情報の漏洩を避けるために、追加の手段、特に機密データの暗号化を採用します。
同社はさらにESETに対し、最新のファイルをNoxPlayerのアップデートサーバーにプッシュし、ツールの起動時にユーザーのマシンに以前にインストールされていたファイルのチェックを実行すると語った。
この記事は、2021 年 2 月 3 日午前 11 時 22 分(東部標準時間)に更新され、NoxPlayer の開発者である BigNox からの声明が追加されました。