กลุ่มแฮ็กเกอร์สามารถเข้าถึงอินฟาเรดเซิร์ฟเวอร์ของ NoxPlayer และได้ส่งมัลแวร์ไปยังผู้ใช้ไม่กี่รายในเอเชีย แต่ BigNow อ้างว่าปัญหาได้รับการแก้ไขแล้ว
ผู้ใช้ NoxPlayer ระวัง กลุ่มแฮกเกอร์ได้รับสิทธิ์เข้าถึง โปรแกรมจำลอง Androidโครงสร้างพื้นฐานของเซิร์ฟเวอร์และได้ส่งมัลแวร์ไปยังผู้ใช้เพียงไม่กี่รายในเอเชีย ESET บริษัทรักษาความปลอดภัยในสโลวาเกียเพิ่งค้นพบการโจมตีดังกล่าว และแนะนำให้ผู้ใช้ NoxPlayer ที่ได้รับผลกระทบติดตั้งโปรแกรมจำลองใหม่เพื่อลบมัลแวร์ออกจากระบบของตน
สำหรับผู้ที่ไม่รู้ตัว NoxPlayer คือโปรแกรมจำลอง Android ที่ได้รับความนิยมในหมู่นักเล่นเกม โปรแกรมจำลองนี้ใช้เพื่อรันเกม Android บนพีซี x86 เป็นหลัก และได้รับการพัฒนาโดยบริษัท BigNox ในฮ่องกง ตามก รายงานล่าสุด จาก ซดีเน็ต ในเรื่องนี้ กลุ่มแฮ็กเกอร์ได้เข้าถึงหนึ่งใน API อย่างเป็นทางการของบริษัท (api.bignox.com) และเซิร์ฟเวอร์โฮสต์ไฟล์ (res06.bignox.com) การใช้การเข้าถึงนี้ กลุ่มได้แก้ไข URL ดาวน์โหลดของการอัพเดต NoxPlayer ในเซิร์ฟเวอร์ API เพื่อส่งมัลแวร์ไปยังผู้ใช้
ใน รายงาน เกี่ยวกับการโจมตี ESET เปิดเผยว่าได้ระบุกลุ่มมัลแวร์ที่แตกต่างกันสามกลุ่มที่กำลังเป็นอยู่
"เผยแพร่จากการอัปเดตที่เป็นอันตรายที่ปรับแต่งมาโดยเฉพาะเพื่อเลือกเหยื่อ โดยไม่มีสัญญาณของการใช้ประโยชน์จากผลประโยชน์ทางการเงินใดๆ แต่เป็นความสามารถที่เกี่ยวข้องกับการเฝ้าระวัง"ESET ยังเปิดเผยอีกว่าแม้ว่าผู้โจมตีจะสามารถเข้าถึงเซิร์ฟเวอร์ BigNox ได้ตั้งแต่อย่างน้อยกันยายน 2020 แต่พวกเขาไม่ได้กำหนดเป้าหมายไปที่ผู้ใช้ของบริษัททั้งหมด ผู้โจมตีมุ่งความสนใจไปที่เครื่องที่เฉพาะเจาะจงแทน โดยบอกว่านี่เป็นการโจมตีที่มีเป้าหมายสูงที่ต้องการแพร่ระบาดเฉพาะผู้ใช้บางประเภทเท่านั้น ณ ขณะนี้ การอัปเดต NoxPlayer ที่เต็มไปด้วยมัลแวร์ได้ถูกส่งไปยังเหยื่อเพียงห้ารายที่อยู่ในไต้หวัน ฮ่องกง และศรีลังกา อย่างไรก็ตาม ESET แนะนำให้ผู้ใช้ NoxPlayer ทุกคนระมัดระวัง บริษัทรักษาความปลอดภัยได้จัดทำคำแนะนำเพื่อช่วยให้ผู้ใช้ทราบว่าระบบของตนถูกบุกรุกหรือไม่ในรายงาน
ในกรณีที่ผู้ใช้พบการบุกรุก พวกเขาควรติดตั้ง NoxPlayer ใหม่จากสื่อที่ปลอดภัย ผู้ใช้ที่ไม่ได้รับผลกระทบไม่ควรดาวน์โหลดการอัปเดตใด ๆ จนกว่า BigNox จะแจ้งให้ทราบว่าได้บรรเทาภัยคุกคามแล้ว โฆษกของ BigNox กล่าว ซดีเน็ต ว่าบริษัทกำลังทำงานร่วมกับ ESET เพื่อตรวจสอบการละเมิดเพิ่มเติม
หลังจากการเผยแพร่บทความนี้ BigNox ได้ติดต่อ ESET โดยระบุว่าพวกเขาได้ดำเนินการตามขั้นตอนต่อไปนี้เพื่อปรับปรุงความปลอดภัยให้กับผู้ใช้:
- ใช้ HTTPS เท่านั้นเพื่อส่งการอัปเดตซอฟต์แวร์เพื่อลดความเสี่ยงของการไฮแจ็กโดเมนและการโจมตีแบบ Man-in-the-Middle (MitM)
- ใช้การตรวจสอบความสมบูรณ์ของไฟล์โดยใช้ MD5 hashing และการตรวจสอบลายเซ็นไฟล์
- ใช้มาตรการเพิ่มเติม โดยเฉพาะการเข้ารหัสข้อมูลที่ละเอียดอ่อน เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้
บริษัทบอกกับ ESET เพิ่มเติมว่าได้ส่งไฟล์ล่าสุดไปยังเซิร์ฟเวอร์อัพเดตของ NoxPlayer และเมื่อเริ่มต้น เครื่องมือจะทำการตรวจสอบไฟล์ที่ติดตั้งไว้ก่อนหน้านี้ในเครื่องของผู้ใช้
บทความนี้ได้รับการอัปเดตเมื่อเวลา 11:22 น. ET ของวันที่ 3 กุมภาพันธ์ 2021 เพื่อเพิ่มคำชี้แจงจาก BigNox ผู้พัฒนา NoxPlayer