해커 그룹이 NoxPlayer의 서버 인프라에 접근하여 아시아의 일부 사용자에게 악성 코드를 퍼뜨렸지만 BigNow는 문제가 해결되었다고 주장합니다.
NoxPlayer 사용자는 주의하세요. 해커 그룹이 다음 항목에 액세스했습니다. 안드로이드 에뮬레이터의 서버 인프라를 공격하여 아시아의 일부 사용자에게 악성 코드를 퍼뜨렸습니다. 슬로바키아 보안 회사인 ESET는 최근 이 공격을 발견했으며 영향을 받은 NoxPlayer 사용자에게 에뮬레이터를 다시 설치하여 시스템에서 악성 코드를 제거할 것을 권고했습니다.
모르는 사이에 NoxPlayer는 게이머들에게 인기 있는 Android 에뮬레이터입니다. 에뮬레이터는 주로 x86 PC에서 Android 게임을 실행하는 데 사용되며 BigNox라는 홍콩 기반 회사에서 개발했습니다. 에 따르면 최근 보고서 ~에서 ZDNet 이 문제에 대해 한 해커 그룹이 회사의 공식 API(api.bignox.com) 중 하나와 파일 호스팅 서버(res06.bignox.com)에 대한 액세스 권한을 얻었습니다. 이 그룹은 이 액세스를 이용해 API 서버의 NoxPlayer 업데이트 다운로드 URL을 변조하여 사용자에게 악성코드를 전달했습니다.
안에 보고서 이 공격과 관련하여 ESET은 현재 진행 중인 세 가지 다른 악성 코드군을 식별했다고 밝혔습니다. "특정 피해자에게 맞춤형 악성 업데이트를 배포했으며 금전적 이익을 활용한 흔적은 없고 오히려 감시 관련 기능을 활용한 것으로 나타났습니다."
ESET은 또한 공격자가 적어도 2020년 9월부터 BigNox 서버에 액세스할 수 있었음에도 불구하고 회사 사용자 전체를 표적으로 삼지는 않았다고 밝혔습니다. 대신, 공격자들은 특정 시스템에 초점을 맞춰 이것이 특정 사용자 클래스만을 감염시키려는 고도의 표적 공격임을 시사했습니다. 현재 악성코드가 포함된 NoxPlayer 업데이트는 대만, 홍콩, 스리랑카에 위치한 5명의 피해자에게만 전달되었습니다. 그러나 ESET에서는 모든 NoxPlayer 사용자에게 주의를 기울일 것을 권장합니다. 보안 회사는 보고서에서 시스템이 손상되었는지 사용자가 파악하는 데 도움이 되는 몇 가지 지침을 제시했습니다.
사용자가 침입을 발견한 경우 깨끗한 미디어에서 NoxPlayer를 다시 설치해야 합니다. 손상되지 않은 사용자는 BigNox가 위협을 완화했음을 알릴 때까지 업데이트를 다운로드하지 않는 것이 좋습니다. BigNox 대변인은 다음과 같이 말했습니다. ZDNet 회사는 위반 사항을 추가로 조사하기 위해 ESET과 협력하고 있습니다.
이 기사가 게시된 후 BigNox는 ESET에 연락하여 사용자 보안을 강화하기 위해 다음 단계를 수행했다고 밝혔습니다.
- 도메인 하이재킹 및 중간자(MitM) 공격의 위험을 최소화하기 위해 HTTPS만 사용하여 소프트웨어 업데이트를 제공합니다.
- MD5 해싱 및 파일 서명 검사를 사용하여 파일 무결성 확인 구현
- 사용자의 개인정보 노출을 방지하기 위해 민감한 데이터 암호화 등 추가 조치를 취하세요.
또한 회사는 ESET에 최신 파일을 NoxPlayer의 업데이트 서버에 푸시했으며, 시작 시 도구가 이전에 사용자 컴퓨터에 설치된 파일을 검사한다고 밝혔습니다.
이 기사는 NoxPlayer 개발자인 BigNox의 성명을 추가하기 위해 2021년 2월 3일 오전 11시 22분(ET)에 업데이트되었습니다.