Grupa hakerów uzyskała dostęp do infrastruktury serwerowej NoxPlayer i rozesłała złośliwe oprogramowanie do kilku użytkowników w Azji, ale BigNow twierdzi, że problem został rozwiązany.
Użytkownicy NoxPlayera, uważajcie. Grupa hakerów uzyskała dostęp do Emulator Androidainfrastrukturę serwerową i przekazał złośliwe oprogramowanie kilku użytkownikom w Azji. Słowacka firma zajmująca się bezpieczeństwem ESET niedawno odkryła ten atak i zaleciła dotkniętym użytkownikom NoxPlayer ponowną instalację emulatora w celu usunięcia szkodliwego oprogramowania ze swoich systemów.
Dla nieświadomych NoxPlayer to emulator Androida, który jest popularny wśród graczy. Emulator służy głównie do uruchamiania gier na Androida na komputerach PC x86 i został opracowany przez firmę BigNox z siedzibą w Hongkongu. Według najnowszy raport z ZDNet w tej sprawie grupa hakerów uzyskała dostęp do jednego z oficjalnych serwerów API firmy (api.bignox.com) i serwerów hostujących pliki (res06.bignox.com). Korzystając z tego dostępu, grupa manipulowała adresem URL pobierania aktualizacji NoxPlayer na serwerze API, aby dostarczać użytkownikom złośliwe oprogramowanie.
W raport w odniesieniu do ataku firma ESET ujawnia, że zidentyfikowała trzy różne rodziny szkodliwego oprogramowania „rozpowszechniane w formie dostosowanych złośliwych aktualizacji do wybranych ofiar bez oznak wykorzystania jakichkolwiek korzyści finansowych, a raczej z funkcjami związanymi z inwigilacją”.
ESET ujawnia ponadto, że chociaż napastnicy mieli dostęp do serwerów BigNox co najmniej od września 2020 r., nie zaatakowali wszystkich użytkowników firmy. Zamiast tego napastnicy skupili się na konkretnych komputerach, co sugeruje, że był to wysoce ukierunkowany atak, którego celem było zainfekowanie tylko określonej klasy użytkowników. Jak dotąd obciążone złośliwym oprogramowaniem aktualizacje NoxPlayera zostały dostarczone jedynie pięciu ofiarom zlokalizowanym na Tajwanie, w Hongkongu i na Sri Lance. Jednak ESET zaleca wszystkim użytkownikom NoxPlayer zachowanie ostrożności. W swoim raporcie firma zajmująca się bezpieczeństwem przedstawiła instrukcje, które mają pomóc użytkownikom ustalić, czy ich system został naruszony.
W przypadku, gdy użytkownicy znajdą włamanie, powinni ponownie zainstalować NoxPlayer z czystego nośnika. Użytkownikom, którzy nie narażają się na szwank, zaleca się, aby nie pobierali żadnych aktualizacji, dopóki BigNox nie powiadomi, że złagodził zagrożenie. Poinformował o tym rzecznik BigNox ZDNet że firma współpracuje z firmą ESET w celu dalszego zbadania naruszenia.
Po opublikowaniu tego artykułu firma BigNox skontaktowała się z firmą ESET, stwierdzając, że podjęła ona następujące kroki w celu poprawy bezpieczeństwa swoich użytkowników:
- Do dostarczania aktualizacji oprogramowania używaj wyłącznie protokołu HTTPS, aby zminimalizować ryzyko przejęcia domeny i ataków typu Man-in-the-Middle (MitM)
- Zaimplementuj weryfikację integralności plików za pomocą kontroli skrótu MD5 i podpisu plików
- Przyjmij dodatkowe środki, w szczególności szyfrowanie danych wrażliwych, aby uniknąć ujawnienia danych osobowych użytkowników
Firma poinformowała ponadto firmę ESET, że przekazała najnowsze pliki na serwer aktualizacji NoxPlayer i że po uruchomieniu narzędzie sprawdzi pliki wcześniej zainstalowane na komputerach użytkowników.
Ten artykuł został zaktualizowany o godzinie 11:22 ET w dniu 3 lutego 2021 r. w celu dodania oświadczenia BigNox, twórców NoxPlayer.