Een hackergroep heeft toegang gekregen tot de serverinfrastructuur van NoxPlayer en heeft malware naar een paar gebruikers in Azië gepusht, maar BigNow beweert dat het probleem is opgelost.
NoxPlayer-gebruikers opgelet. Een hackergroep heeft toegang gekregen tot de Android-emulator's serverinfrastructuur en heeft malware naar een paar gebruikers in Azië gepusht. Het Slowaakse beveiligingsbedrijf ESET heeft de aanval onlangs ontdekt en heeft getroffen NoxPlayer-gebruikers geadviseerd de emulator opnieuw te installeren om de malware van hun systemen te verwijderen.
Voor de onwetenden: NoxPlayer is een Android-emulator die populair is onder gamers. De emulator wordt voornamelijk gebruikt om Android-games op x86-pc's uit te voeren en is ontwikkeld door een in Hong Kong gevestigd bedrijf genaamd BigNox. Volgens een recent verslag van ZDNet Ter zake heeft een hackergroep toegang gekregen tot een van de officiële API- (api.bignox.com) en bestandshostingservers van het bedrijf (res06.bignox.com). Met behulp van deze toegang heeft de groep geknoeid met de download-URL van NoxPlayer-updates op de API-server om malware aan gebruikers te leveren.
In een rapport Met betrekking tot de aanval onthult ESET dat het drie verschillende malwarefamilies heeft geïdentificeerd "verdeeld via op maat gemaakte kwaadaardige updates naar geselecteerde slachtoffers, zonder enig teken van financieel gewin, maar eerder met surveillance-gerelateerde mogelijkheden."
ESET onthult verder dat, hoewel de aanvallers sinds ten minste september 2020 toegang hadden tot BigNox-servers, ze zich niet op alle gebruikers van het bedrijf richtten. In plaats daarvan concentreerden de aanvallers zich op specifieke machines, wat suggereert dat dit een zeer gerichte aanval was die slechts een bepaalde klasse gebruikers wilde infecteren. Tot nu toe zijn de met malware beladen NoxPlayer-updates slechts afgeleverd bij vijf slachtoffers in Taiwan, Hong Kong en Sri Lanka. ESET raadt alle NoxPlayer-gebruikers echter aan voorzichtig te blijven. Het beveiligingsbedrijf heeft in zijn rapport enkele instructies uiteengezet om gebruikers te helpen erachter te komen of hun systeem is gecompromitteerd.
Als gebruikers een inbraak ontdekken, moeten ze NoxPlayer opnieuw installeren vanaf schone media. Niet-gecompromitteerde gebruikers wordt geadviseerd geen updates te downloaden totdat BigNox meldt dat het de dreiging heeft beperkt. Dat heeft een woordvoerder van BigNox gezegd ZDNet dat het bedrijf samenwerkt met ESET om de inbreuk verder te onderzoeken.
Na de publicatie van dit artikel heeft BigNox contact opgenomen met ESET en verklaard dat zij de volgende stappen hebben ondernomen om de beveiliging voor hun gebruikers te verbeteren:
- Gebruik alleen HTTPS om software-updates te leveren om de risico's van domeinkaping en Man-in-the-Middle (MitM)-aanvallen te minimaliseren
- Implementeer bestandsintegriteitsverificatie met behulp van MD5-hashing en controles van bestandshandtekeningen
- Neem aanvullende maatregelen, met name de versleuteling van gevoelige gegevens, om te voorkomen dat persoonlijke gegevens van gebruikers openbaar worden gemaakt
Het bedrijf vertelde ESET verder dat het de nieuwste bestanden naar de updateserver van NoxPlayer heeft gepusht en dat de tool bij het opstarten een controle zal uitvoeren op de bestanden die eerder op de computers van gebruikers zijn geïnstalleerd.
Dit artikel is op 3 februari 2021 om 11:22 uur ET bijgewerkt met een verklaring van BigNox, de ontwikkelaars van NoxPlayer.