Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Zainfekowali serwer aktualizacji NoxPlayer – narzędzia popularnego wśród graczy

02 lutego 2021, 10:51 | W biegu | komentarze 2

O tym jak skuteczne są ataki na łańcuchy dostaw mogliśmy się przekonać chociażby dzięki głośnej sprawie z SolarWinds czy CCleaner. Jak wynika z raportu ESET, tym razem ofiarą padł NoxPlayer, przez co część użytkowników mogła zostać zainfekowana złośliwym oprogramowaniem.

Czym jest NoxPlayer ?

Jest to bezpłatny emulator systemu operacyjnego Android, który umożliwia posiadaczom komputerów osobistych uruchamianie gier i aplikacji oficjalnie dostępnych wyłącznie na platformach mobilnych. Na oficjalnej stronie aplikacji, w zakładce “O nas” możemy się dowiedzieć, że z NoxPlayer korzysta ponad 150 milionów użytkowników.

To oprogramowanie jest zwykle używane przez graczy do grania w gry mobilne na ich komputerach, co sprawia, że ten incydent jest dość nietypowy. 

Serwer niechcianych aktualizacji

Wektorem do dostarczenia użytkownikom złośliwego oprogramowania był mechanizm aktualizacji. Eset twierdzi że napastnicy włamali się ba serwer res06.bignox.com oraz prawdopodobnie na api.bignox.com.

Przy uruchomieniu NoxPlayer, program wysyła zapytania HTTP do API serwera aktualizacji, a jeśli jest dostępna jakaś nowa aktualizacja, to użytkownikowi wyświetla się komunikat z możliwością jej pobrania.

* Komunikat o nowej aktualizacji wyświetlany użytkownikowi

* Odpowiedź z API serwera aktualizacji

Po kliknięciu przycisku “Update now”, główna aplikacja NoxPlayer.exe przekaże odpowiednie parametry uzyskane z API do NoxPack.exe, odpowiedzialnego za samo pobieranie aktualizacji.

Co jednak, gdy atakujący ma kontrolę nad plikami hostowanymi na res06.bignox.com lub ma dostęp do API, dzięki czemu może zmienić link w parametrze “url” ? Nic dobrego…

Według badaczy, zaobserwowano w sumie aż 3 różne warianty złośliwego oprogramowania dostarczonego przez złośliwe aktualizacje:

  1. Nieznany, posiadający zdolność do pobierania & przesyłania plików i uruchamiania komend
  2. Gh0st Rat
  3. PoisonIvy RAT

Dokładna liczba infekcji nie jest znana, lecz według raportu atakujących interesowała mała, określona grupa użytkowników NoxPlayer, co może sugerować, że osoby odpowiedzialne za atak nie są zwykłymi cyberprzestępcami, którzy kierują się jedynie zyskiem…

ESET datuje początek ataku na wrzesień 2020r., a działania trwały aż do momentu wykrycia, czyli do 25 stycznia 2021r.

Podsumowanie

Ataki na łańcuchy dostaw są i będą dalej dużym zagrożeniem. Jest to również dobry przykład jak coś, z pozoru mającego pozytywny wpływ na nasze bezpieczeństwo (aktualizacje), może zostać wykorzystane przeciwko nam.

–Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. No nieźle

    Akurat jak największy peak popularności miała gra Among Us – wiele osób używało emulatorów żeby grać w nią na PC za darmo

    Odpowiedz
  2. Dariusz

    Aktualnie, wśród fanów grania w gry mobilne na pececie nox zawsze miał sporo niezbyt przyjaznych opinii i plotki o tym, że ma w sobie wszelkiego rodzaju malware/minery krążyły już co najmniej od 2017r

    Odpowiedz

Odpowiedz