Взлом Android-эмулятора NoxPlayer

Компания ESET сообщила о новой атаке на цепочку поставок, объектом которой стал механизм обновления приложения для геймеров NoxPlayer. Эксперты ESET обнаружили сразу три вида вредоносных программ для шпионажа за пользователями эмулятора.

NoxPlayer разработан компанией BigNox из Гонконга и предназначен для запуска Android-приложений на компьютерах под управлением Windows и Mac. Число пользователей эмулятора по всему миру превышает 150 млн человек.

Как комментируют исследователи ESET, первые признаки взлома были обнаружены на основе телеметрии ESET в сентябре 2020 г. В конце января 2021 активность приобрела явный вредоносный характер, после чего компания сообщила об инциденте в BigNox. Изучив характер и последствия взлома, эксперты пришли к выводу, что атака на цепочку поставок не была нацелена на получение немедленной финансовой выгоды. Вредоносное ПО является шпионским и предназначено для сбора данных об участниках игрового сообщества. Заражение осуществляется через механизм обновления эмулятора. Вредоносное ПО загружается, когда пользователь соглашается установить новую версию NoxPlayer.

Эксперты полагают, что инфраструктура разработчика BigNox была взломана для размещения вирусного ПО, также мог быть скомпрометирован интерфейс программирования приложения (API). Программа обновления BigNox загружала дополнительные данные с серверов под контролем злоумышленников. В ESET детектировали три различных варианта вредоносных обновлений. Два из них загружались из легитимной инфраструктуры BigNox, в том числе Gh0st RAT с возможностями кейлоггера. Третий вариант – инструмент удаленного доступа PoisonIvy RAT – загружался из инфраструктуры, контролируемой злоумышленниками.

Скомпрометированным пользователям NoxPlayer специалисты по ИБ рекомендуют удалить программу-эмулятор или выполнить стандартную переустановку с чистого носителя. Тем, кто давно не обновлялся, следует дождаться официального уведомления BigNox об устранении угрозы.