Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової атаки на ланцюг постачання, яка спрямована на механізм оновлення програми-емулятора Android під назвою NoxPlayer. Зокрема три різних сімейства загроз поширюються за допомогою спеціальних шкідливих оновлень з метою кібершпигунства. Дослідники ESET назвали небезпечну операцію NightScout.
Варто зазначити, що програмне забезпечення NoxPlayer переважно використовується геймерами для запуску мобільних ігор зі своїх комп’ютерів Windows та Mac. Постачальником програми-емулятора Android є гонконгська компанія BigNox, яка налічує понад 150 мільйонів користувачів у більш ніж 150 країнах.
«За даними телеметрії ESET перші ознаки компрометації були зафіксовані у вересні 2020 року. Шкідлива активність тривала до моменту виявлення на минулому тижні, про що також було попереджено компанію BigNox», — коментує Ігнасіо Санміллан, дослідник компанії ESET.
Під час дослідження цілеспрямованої операції NightScout вдалося ідентифікувати тільки декілька жертв, серед яких були користувачі з Тайвані, Гонконга та Шрі-Ланки. «Аналіз цього скомпрометованого програмного забезпечення та шкідливих програм з можливостями відстеження свідчить про намір збору даних про цілі з середовища ігрової спільноти», — уточнює дослідник ESET.
У цій атаці на ланцюг постачання вектором компрометації був механізм оновлення NoxPlayer. Зокрема NoxPlayer після запуску пропонує користувачу встановити новішу версію, таким чином поширюючи шкідливу програму.
«Ми маємо достатньо доказів компрометації BigNox з метою розміщення шкідливого ПЗ, а також припускаємо можливість інфікування інфраструктури API. У деяких випадках додаткові компоненти завантажувались через оновлення BigNox із контрольованих зловмисниками серверів», — додає Ігнасіо Санміллан.
Загалом дослідники ESET виявили три різні варіанти шкідливих оновлень. Перше має достатньо можливостей для відстеження дій користувачів. Воно, як і другий варіант оновлення, завантажувалося із легітимної інфраструктури BigNox. Розгорнутий фінальний компонент Gh0st RAT зчитував натиснення клавіатури.
У третьому випадку PoisonIvy RAT, популярний серед кіберзлочинців інструмент для віддаленого доступу, застосовувався лише після початкових шкідливих оновлень та завантажувався з контрольованої зловмисниками інфраструктури.
Дослідники ESET знайшли деякі схожі риси між раніше виявленими завантажувачами та тими, які використовувалися в операції NightScout. Подібність пов’язана з випадками компрометації ланцюга постачання веб-сайту президентського офісу М'янми у 2018 році та атаками на університет Гонконгу на початку 2020 року.
«У випадку інфікування виконайте повторне встановлення операційної системи та запустіть ПЗ з чистого носія. Для неінфікованих користувачів NoxPlayer не варто завантажувати жодних оновлень, поки BigNox не надішле повідомлення про знешкодження загроз. А найкращим варіантом буде видалити програмне забезпечення», — рекомендує Ігнасіо Санміллан.
Більш детальна інформація про операцію NightScout доступна за посиланням.
[Оновлення від 3 лютого 2021 року]
Після публікації дослідження компанія BigNox повідомила ESET про застосування заходів для підвищення безпеки користувачів, зокрема шляхом:
- використання лише HTTPS для доставки оновлень програмного забезпечення, щоб мінімізувати ризики несанкціонованого використання домену та MitM-атак;
- здійснення контролю цілісності файлів за допомогою хешування MD5 та перевірки їх підпису;
- шифрування конфіденційних даних для уникнення розкриття особистої інформації користувачів.
BigNox також заявила про відправку останніх файлів на сервер оновлень для NoxPlayer та виконання під час запуску перевірки файлів програми, які були раніше встановлені на пристроях користувачів.
Компанія ESET не несе відповідальності за точність інформації, наданої BigNox.
Читайте також:
Поширені загрози для геймерів: як суперники можуть впливати на хід гри
Спеціалісти ESET виявили атаки на геймерів та ІТ-виробників
Від спам-повідомлень до торентів – 7 найпоширеніших способів інфікування пристроїв