Группа хакеров получила доступ к инфраструктуре сервера NoxPlayer и распространила вредоносное ПО нескольким пользователям в Азии, но BigNow утверждает, что проблема решена.
Пользователи NoxPlayer будьте осторожны. Хакерская группа получила доступ к Android-эмуляторсерверную инфраструктуру и передал вредоносное ПО нескольким пользователям в Азии. Словацкая охранная фирма ESET недавно обнаружила атаку и посоветовала пострадавшим пользователям NoxPlayer переустановить эмулятор, чтобы удалить вредоносное ПО из своих систем.
Для неосведомленных: NoxPlayer — это эмулятор Android, популярный среди геймеров. Эмулятор в основном используется для запуска игр Android на ПК x86 и разработан гонконгской компанией BigNox. Согласно Недавний доклад от ЗДНет По этому поводу группа хакеров получила доступ к одному из официальных API компании (api.bignox.com) и файловым серверам (res06.bignox.com). Используя этот доступ, группа подделала URL-адрес загрузки обновлений NoxPlayer на сервере API, чтобы доставить пользователям вредоносное ПО.
В отчет Что касается атаки, ESET сообщает, что выявила три различных семейства вредоносных программ, которые подвергаются атаке. «распространяется в виде специализированных вредоносных обновлений среди избранных жертв, без каких-либо признаков использования какой-либо финансовой выгоды, а скорее с возможностями, связанными с наблюдением».
ESET также сообщает, что, хотя злоумышленники имели доступ к серверам BigNox как минимум с сентября 2020 года, они не атаковали всех пользователей компании. Вместо этого злоумышленники сосредоточились на конкретных машинах, предполагая, что это была узконаправленная атака, направленная на заражение только определенного класса пользователей. На данный момент загруженные вредоносным ПО обновления NoxPlayer были доставлены только пяти жертвам, расположенным на Тайване, в Гонконге и Шри-Ланке. Однако ESET рекомендует всем пользователям NoxPlayer сохранять осторожность. Охранная фирма в своем отчете изложила некоторые инструкции, которые помогут пользователям выяснить, была ли скомпрометирована их система.
Если пользователи обнаружат вторжение, им следует переустановить NoxPlayer с чистого носителя. Нескомпрометированным пользователям рекомендуется не загружать какие-либо обновления до тех пор, пока BigNox не сообщит, что угроза устранена. Об этом сообщил представитель BigNox. ЗДНет что компания работает с ESET над дальнейшим расследованием нарушения.
После публикации этой статьи компания BigNox обратилась к ESET и сообщила, что они предприняли следующие шаги для повышения безопасности своих пользователей:
- Используйте только HTTPS для доставки обновлений программного обеспечения, чтобы минимизировать риски захвата домена и атак типа «человек посередине» (MitM).
- Реализация проверки целостности файлов с использованием хеширования MD5 и проверки подписи файлов.
- Примите дополнительные меры, в частности шифрование конфиденциальных данных, чтобы избежать раскрытия личной информации пользователей.
Компания также сообщила ESET, что она отправила последние файлы на сервер обновлений NoxPlayer и что при запуске инструмент выполнит проверку файлов, ранее установленных на компьютерах пользователей.
Эта статья была обновлена в 11:22 по восточному времени 3 февраля 2021 г. с добавлением заявления от BigNox, разработчиков NoxPlayer.