Skupina hekerjev je pridobila dostop do infra strežnika NoxPlayer in zlonamerno programsko opremo poslala nekaj uporabnikom v Aziji, vendar BigNow trdi, da je težava odpravljena.
Uporabniki NoxPlayerja pozor. Hekerska skupina je pridobila dostop do Android emulatorstrežniško infrastrukturo in je zlonamerno programsko opremo potisnil nekaj uporabnikom v Aziji. Slovaško varnostno podjetje ESET je nedavno odkrilo napad in prizadetim uporabnikom NoxPlayerja svetovalo, naj znova namestijo emulator, da odstranijo zlonamerno programsko opremo iz svojih sistemov.
Za tiste, ki ne vedo, je NoxPlayer emulator Android, ki je priljubljen med igralci. Emulator se uporablja predvsem za izvajanje iger Android na osebnih računalnikih x86, razvilo pa ga je podjetje BigNox s sedežem v Hongkongu. Po mnenju a nedavno poročilo od ZDNet v zvezi s tem je skupina hekerjev pridobila dostop do enega od uradnih API-jev podjetja (api.bignox.com) in strežnikov za gostovanje datotek (res06.bignox.com). S tem dostopom je skupina posegla v URL za prenos posodobitev NoxPlayerja v strežniku API, da bi uporabnikom dostavila zlonamerno programsko opremo.
V poročilo v zvezi z napadom ESET razkriva, da je identificiral tri različne družine zlonamerne programske opreme "razdeljeno iz prilagojenih zlonamernih posodobitev izbranim žrtvam, brez znakov izkoriščanja kakršnega koli finančnega dobička, temveč z zmogljivostmi, povezanimi z nadzorom."
ESET nadalje razkriva, da čeprav so imeli napadalci dostop do strežnikov BigNox vsaj od septembra 2020, niso ciljali na vse uporabnike podjetja. Namesto tega so se napadalci osredotočili na določene stroje, kar nakazuje, da je bil to zelo ciljno usmerjen napad, ki naj bi okužil samo določen razred uporabnikov. Do zdaj so bile posodobitve NoxPlayerja, obremenjene z zlonamerno programsko opremo, dostavljene samo petim žrtvam v Tajvanu, Hong Kongu in Šrilanki. Vendar ESET vsem uporabnikom NoxPlayer priporoča, da ostanejo previdni. Varnostno podjetje je v svojem poročilu podalo nekaj navodil, ki uporabnikom pomagajo ugotoviti, ali je bil njihov sistem ogrožen.
Če uporabniki odkrijejo vdor, morajo ponovno namestiti NoxPlayer s čistega medija. Neogroženim uporabnikom svetujemo, naj ne prenašajo nobenih posodobitev, dokler BigNox ne obvesti, da je ublažil grožnjo. Tiskovni predstavnik BigNoxa je povedal ZDNet da podjetje sodeluje z ESET pri nadaljnji preiskavi kršitve.
Po objavi tega članka je BigNox stopil v stik z ESET-om in izjavil, da so sprejeli naslednje korake za izboljšanje varnosti svojih uporabnikov:
- Za dostavo posodobitev programske opreme uporabljajte samo HTTPS, da čim bolj zmanjšate tveganje ugrabitve domene in napadov Man-in-the-Middle (MitM).
- Implementirajte preverjanje celovitosti datoteke z zgoščevanjem MD5 in preverjanjem podpisa datoteke
- Sprejmite dodatne ukrepe, zlasti šifriranje občutljivih podatkov, da preprečite razkritje osebnih podatkov uporabnikov
Podjetje je ESET-u še povedalo, da je najnovejše datoteke potisnilo v strežnik za posodobitve NoxPlayerja in da bo orodje ob zagonu zagnalo preverjanje datotek, ki so bile predhodno nameščene na računalnikih uporabnikov.
Ta članek je bil posodobljen ob 11:22 ET 3. februarja 2021, da doda izjavo BigNoxa, razvijalca NoxPlayerja.