Um grupo de hackers obteve acesso à infra-estrutura do servidor NoxPlayer e enviou malware para alguns usuários na Ásia, mas BigNow afirma que o problema foi resolvido.
Usuários do NoxPlayer, tomem cuidado. Um grupo de hackers obteve acesso ao Emulador Androidda infraestrutura de servidores e enviou malware para alguns usuários na Ásia. A empresa de segurança eslovaca ESET descobriu recentemente o ataque e aconselhou os usuários afetados do NoxPlayer a reinstalar o emulador para remover o malware de seus sistemas.
Para quem não sabe, NoxPlayer é um emulador de Android popular entre os jogadores. O emulador é usado principalmente para rodar jogos Android em PCs x86 e é desenvolvido por uma empresa com sede em Hong Kong chamada BigNox. De acordo com um relatório recente de ZDNet sobre o assunto, um grupo de hackers obteve acesso a uma das APIs oficiais da empresa (api.bignox.com) e a servidores de hospedagem de arquivos (res06.bignox.com). Usando esse acesso, o grupo violou o URL de download das atualizações do NoxPlayer no servidor API para entregar malware aos usuários.
Em um relatório em relação ao ataque, a ESET revela que identificou três famílias diferentes de malware que estão sendo “distribuído a partir de atualizações maliciosas personalizadas para vítimas selecionadas, sem nenhum sinal de alavancar qualquer ganho financeiro, mas sim com recursos relacionados à vigilância”.
A ESET revela ainda que, embora os invasores tivessem acesso aos servidores BigNox desde pelo menos setembro de 2020, eles não atingiram todos os usuários da empresa. Em vez disso, os invasores se concentraram em máquinas específicas, sugerindo que se tratava de um ataque altamente direcionado que buscava infectar apenas uma determinada classe de usuários. Até o momento, as atualizações do NoxPlayer carregadas de malware foram entregues apenas a cinco vítimas localizadas em Taiwan, Hong Kong e Sri Lanka. No entanto, a ESET recomenda que todos os usuários do NoxPlayer sejam cautelosos. A empresa de segurança apresentou algumas instruções para ajudar os usuários a descobrir se seu sistema foi comprometido em seu relatório.
Caso os usuários encontrem uma intrusão, eles devem reinstalar o NoxPlayer a partir de uma mídia limpa. Os usuários não comprometidos são aconselhados a não baixar nenhuma atualização até que o BigNox notifique que mitigou a ameaça. Um porta-voz da BigNox disse ZDNet que a empresa está trabalhando com a ESET para investigar mais a fundo a violação.
Após a publicação deste artigo, BigNox entrou em contato com a ESET informando que eles tomaram as seguintes medidas para melhorar a segurança de seus usuários:
- Use apenas HTTPS para fornecer atualizações de software, a fim de minimizar os riscos de sequestro de domínio e ataques Man-in-the-Middle (MitM)
- Implementar verificação de integridade de arquivos usando hashing MD5 e verificações de assinatura de arquivos
- Adotar medidas adicionais, nomeadamente a encriptação de dados sensíveis, para evitar a exposição de informações pessoais dos utilizadores
A empresa disse ainda à ESET que enviou os arquivos mais recentes para o servidor de atualização do NoxPlayer e que, ao iniciar, a ferramenta executará uma verificação dos arquivos previamente instalados nas máquinas dos usuários.
Este artigo foi atualizado às 11h22 ET de 3 de fevereiro de 2021, para adicionar uma declaração da BigNox, os desenvolvedores do NoxPlayer.