Група хакерів отримала доступ до серверної інформації NoxPlayer і передала зловмисне програмне забезпечення кільком користувачам в Азії, але BigNow стверджує, що проблему вирішено.
Увага, користувачі NoxPlayer. Хакерська група отримала доступ до Емулятор Androidсерверної інфраструктури та розповсюдив зловмисне програмне забезпечення кільком користувачам в Азії. Словацька фірма безпеки ESET нещодавно виявила атаку та порадила постраждалим користувачам NoxPlayer перевстановити емулятор, щоб видалити зловмисне програмне забезпечення зі своїх систем.
Для тих, хто не знає, NoxPlayer — популярний серед геймерів емулятор Android. Емулятор в основному використовується для запуску ігор Android на ПК x86 і розроблений гонконзькою компанією під назвою BigNox. За словами а останній звіт від ZDNet з цього приводу група хакерів отримала доступ до одного з офіційних API компанії (api.bignox.com) і серверів розміщення файлів (res06.bignox.com). Використовуючи цей доступ, група втрутилася в URL-адресу завантаження оновлень NoxPlayer на сервері API, щоб доставити зловмисне програмне забезпечення користувачам.
В звіт Стосовно атаки компанія ESET повідомляє, що виявила три різні сімейства зловмисного програмного забезпечення «розповсюджується зі спеціалізованих шкідливих оновлень для вибраних жертв, без жодних ознак отримання будь-якої фінансової вигоди, а скоріше з можливостями, пов’язаними зі спостереженням».
Крім того, ESET повідомляє, що хоча зловмисники мали доступ до серверів BigNox принаймні з вересня 2020 року, вони не націлилися на всіх користувачів компанії. Натомість зловмисники зосередилися на конкретних машинах, припускаючи, що це була цілеспрямована атака, спрямована на зараження лише певного класу користувачів. На даний момент оновлення NoxPlayer зі зловмисним програмним забезпеченням було доставлено лише п’яти жертвам у Тайвані, Гонконгу та Шрі-Ланці. Однак ESET рекомендує всім користувачам NoxPlayer бути обережними. Охоронна фірма виклала в своєму звіті деякі інструкції, які допоможуть користувачам визначити, чи зламано їхню систему.
Якщо користувачі виявлять вторгнення, вони повинні перевстановити NoxPlayer з чистого носія. Некомпрометованим користувачам рекомендується не завантажувати жодних оновлень, доки BigNox не повідомить, що загрозу пом’якшено. Про це повідомив представник BigNox ZDNet що компанія співпрацює з ESET для подальшого розслідування порушення.
Після публікації цієї статті BigNox звернувся до ESET, заявивши, що вони вжили таких кроків для покращення безпеки своїх користувачів:
- Використовуйте лише HTTPS для доставки оновлень програмного забезпечення, щоб мінімізувати ризики викрадення домену та атак Man-in-the-Middle (MitM)
- Запровадити перевірку цілісності файлу за допомогою хешування MD5 і перевірки підпису файлу
- Застосуйте додаткові заходи, зокрема шифрування конфіденційних даних, щоб уникнути розголошення особистої інформації користувачів
Крім того, компанія повідомила ESET, що вона відправила останні файли на сервер оновлення NoxPlayer і що після запуску інструмент перевірить файли, раніше встановлені на комп’ютерах користувачів.
Цю статтю було оновлено об 11:22 за східним часом 3 лютого 2021 року, щоб додати заяву від BigNox, розробників NoxPlayer.