En hackergrupp fick tillgång till NoxPlayers server infra och har skickat skadlig programvara till ett fåtal användare i Asien, men BigNow hävdar att problemet är åtgärdat.
Akta dig för NoxPlayer-användare. En hackergrupp har fått tillgång till Android emulators serverinfrastruktur och har skickat skadlig programvara till ett fåtal användare i Asien. Det slovakiska säkerhetsföretaget ESET upptäckte nyligen attacken och det har rekommenderat berörda NoxPlayer-användare att installera om emulatorn för att ta bort skadlig programvara från deras system.
För de omedvetna är NoxPlayer en Android-emulator som är populär bland spelare. Emulatorn används främst för att köra Android-spel på x86-datorer, och den är utvecklad av ett Hong Kong-baserat företag som heter BigNox. Enligt a färsk rapport från ZDNet i frågan har en hackergrupp fått tillgång till en av företagets officiella API (api.bignox.com) och filvärdservrar (res06.bignox.com). Genom att använda denna åtkomst har gruppen manipulerat nedladdningsadressen för NoxPlayer-uppdateringar i API-servern för att leverera skadlig programvara till användare.
I en Rapportera angående attacken avslöjar ESET att de har identifierat tre olika skadliga programfamiljer som finns "distribueras från skräddarsydda skadliga uppdateringar till utvalda offer, utan tecken på att utnyttja någon ekonomisk vinst, utan snarare övervakningsrelaterade möjligheter."
ESET avslöjar vidare att även om angriparna hade tillgång till BigNox-servrar sedan åtminstone september 2020, riktade de sig inte mot alla företagets användare. Istället fokuserade angriparna på specifika maskiner, vilket antydde att detta var en mycket riktad attack som bara ville infektera en viss klass av användare. Hittills har de skadliga NoxPlayer-uppdateringarna bara levererats till fem offer i Taiwan, Hong Kong och Sri Lanka. ESET rekommenderar dock att alla NoxPlayer-användare är försiktiga. Säkerhetsföretaget har lagt ut några instruktioner för att hjälpa användare att ta reda på om deras system har äventyrats i sin rapport.
Om användare hittar ett intrång bör de installera om NoxPlayer från rena media. Icke-komprometterade användare rekommenderas att inte ladda ner några uppdateringar förrän BigNox meddelar att det har mildrat hotet. Det har en talesperson för BigNox berättat ZDNet att företaget samarbetar med ESET för att undersöka intrånget ytterligare.
Efter publiceringen av den här artikeln kontaktade BigNox ESET och uppgav att de har vidtagit följande åtgärder för att förbättra säkerheten för sina användare:
- Använd endast HTTPS för att leverera programuppdateringar för att minimera riskerna för domänkapning och Man-in-the-Middle (MitM)-attacker
- Implementera verifiering av filintegritet med MD5-hashning och filsignaturkontroller
- Vidta ytterligare åtgärder, särskilt kryptering av känsliga uppgifter, för att undvika att avslöja användarnas personliga information
Företaget berättade vidare för ESET att det har skickat de senaste filerna till NoxPlayers uppdateringsserver och att verktyget vid uppstart kommer att köra en kontroll av de filer som tidigare installerats på användarnas maskiner.
Den här artikeln uppdaterades klockan 11:22 ET den 3 februari 2021 för att lägga till ett uttalande från BigNox, utvecklarna av NoxPlayer.