Hackers infectaram o emulador Android NoxPlayer com malware

Android emulator NoxPlayer with malware

ATUALIZAR: BigNox nos contatou e disse que eles “contatou a empresa de segurança cibernética ESET para determinar a causa raiz do problema,” e neste momento “corrigiu todos os problemas.”

A ESET lançou um atualizar o artigo afirmando que hackers infectaram o emulador Android NoxPlayer com malware, e também estamos adicionando as seguintes informações: “BigNox afirmou que enviou os arquivos mais recentes para o servidor de atualização do NoxPlayer e que ao iniciar o NoxPlayer agora iniciará uma verificação dos arquivos do aplicativo previamente instalados nos usuários’ computadores.”

O Blog GridinSoft não é responsável pela veracidade das informações fornecidas pela BigNox.

* * *

Especialistas da ESET descobriram um ataque à cadeia de suprimentos, durante o qual um grupo de hackers desconhecido comprometeu os desenvolvedores do popular emulador Android NoxPlayer e o infectou com o código de malware.

NoxPlayer é gratuito e projetado para emular aplicativos Android em computadores Windows ou macOS. O emulador é desenvolvido pela empresa BigNox de Hong Kong e é usado por mais de 150,000,000 usuários em 150 países.

Os pesquisadores escrevem que descobriram um ataque direcionado ao BigNox em janeiro 25, 2021.

De acordo com eles, os invasores comprometeram uma das APIs oficiais da empresa (api.bignox.com), bem como servidores de hospedagem de arquivos (res06.bignox.com). Usando o acesso obtido, os hackers “trabalhado” com o endereço URL para baixar as atualizações e, como resultado, malware distribuído entre usuários do NoxPlayer.

Percebeu-se que através de atualizações maliciosas, entre as vítimas selecionadas foram distribuídas três famílias de malware. Eles não contêm qualquer indicação de que os hackers estejam buscando ganhos financeiros, mas sim destinam-se à vigilância.o relatório da ESET diz.

As seguintes ameaças foram distribuídas através do NoxPlayer. Um malware até então desconhecido que permite rastrear vítimas e que também é capaz de executar comandos recebidos do servidor de comando e controle, excluindo arquivos, baixando e enviando arquivos, e assim por diante. Os outros dois malwares já eram conhecidos por especialistas: eles eram variações do Gh0st RAT (com recursos de keylogger) e PoisonIvy RAT.

Emulador Android NoxPlayer com malware
Esquema do ataque

Embora os analistas acreditem que os invasores tiveram acesso aos servidores do BigNox desde pelo menos setembro 2020, os hackers não atacaram toda a considerável base de usuários da empresa, mas em vez disso concentraram seus esforços em máquinas específicas. Com base nisso, os especialistas concluem que descobriram um ataque direcionado com o objetivo de infectar uma determinada classe de usuários. Portanto, até aqui, apenas cinco pessoas de Taiwan, Hong Kong e Sri Lanka foram identificados como afetados pela versão infectada do NoxPlayer.

Ainda estamos investigando este incidente, mas já encontramos uma relação notável com um grupo de hackers que chamamos de Stellera. Iremos falar sobre este grupo em detalhes em um futuro próximo.os pesquisadores prometem.

A relação e as semelhanças observadas pelos especialistas da ESET são explicadas pelo fato de que todos os três malwares que foram implantados através da atualização do NoxPlayer são muito semelhantes a outro malware que foi usado durante a invasão do site da administração presidencial de Mianmar. (2018) e a Universidade de Hong Kong (2020).

Deixe-me lembrá-lo do fato de que novo worm para Android se espalha rapidamente via WhatsApp.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *