En hackergruppe fikk tilgang til NoxPlayers server-infra og har presset skadevare til noen få brukere i Asia, men BigNow hevder at problemet er løst.
NoxPlayer-brukere pass på. En hackergruppe har fått tilgang til Android-emulatorsin serverinfrastruktur og har presset skadevare til noen få brukere i Asia. Det slovakiske sikkerhetsfirmaet ESET oppdaget nylig angrepet, og det har rådet berørte NoxPlayer-brukere til å installere emulatoren på nytt for å fjerne skadelig programvare fra systemene deres.
For de uvitende er NoxPlayer en Android-emulator som er populær blant spillere. Emulatoren brukes først og fremst til å kjøre Android-spill på x86-PCer, og den er utviklet av et Hong Kong-basert selskap kalt BigNox. I følge a fersk rapport fra ZDNet i saken har en hackergruppe fått tilgang til en av selskapets offisielle API (api.bignox.com) og fil-hosting-servere (res06.bignox.com). Ved å bruke denne tilgangen har gruppen tuklet med nedlastings-URLen til NoxPlayer-oppdateringer i API-serveren for å levere skadelig programvare til brukere.
I en rapportere angående angrepet avslører ESET at de har identifisert tre forskjellige skadevarefamilier som er på vei "distribuert fra skreddersydde ondsinnede oppdateringer til utvalgte ofre, uten tegn til å utnytte noen økonomisk gevinst, men snarere overvåkingsrelaterte evner."
ESET avslører videre at selv om angriperne hadde tilgang til BigNox-servere siden minst september 2020, målrettet de ikke alle selskapets brukere. I stedet fokuserte angriperne på spesifikke maskiner, noe som antydet at dette var et svært målrettet angrep som bare ønsket å infisere en viss klasse brukere. Per nå har de malware-ladede NoxPlayer-oppdateringene bare blitt levert til fem ofre i Taiwan, Hong Kong og Sri Lanka. ESET anbefaler imidlertid alle NoxPlayer-brukere å være forsiktige. Sikkerhetsfirmaet har lagt ut noen instruksjoner for å hjelpe brukere med å finne ut om systemet deres har blitt kompromittert i rapporten.
I tilfelle brukere finner et inntrenging, bør de installere NoxPlayer på nytt fra rene medier. Ikke-kompromitterte brukere anbefales ikke å laste ned noen oppdateringer før BigNox varsler at det har dempet trusselen. Det har en talsperson for BigNox fortalt ZDNet at selskapet samarbeider med ESET for å undersøke bruddet nærmere.
Etter publiseringen av denne artikkelen tok BigNox kontakt med ESET og sa at de har tatt følgende skritt for å forbedre sikkerheten for brukerne:
- Bruk kun HTTPS for å levere programvareoppdateringer for å minimere risikoen for domenekapring og Man-in-the-Middle (MitM)-angrep
- Implementer verifisering av filintegritet ved hjelp av MD5-hashing og filsignaturkontroller
- Vedta ytterligere tiltak, særlig kryptering av sensitive data, for å unngå å avsløre brukernes personlige opplysninger
Selskapet fortalte videre til ESET at det har presset de nyeste filene til NoxPlayers oppdateringsserver, og at verktøyet ved oppstart vil kjøre en sjekk av filene som tidligere er installert på brukernes maskiner.
Denne artikkelen ble oppdatert klokken 11:22 ET 3. februar 2021 for å legge til en uttalelse fra BigNox, utviklerne av NoxPlayer.