Zainfekowali serwer aktualizacji NoxPlayer – narzędzia popularnego wśród graczy

O tym jak skuteczne są ataki na łańcuchy dostaw mogliśmy się przekonać chociażby dzięki głośnej sprawie z SolarWinds czy CCleaner. Jak wynika z raportu ESET, tym razem ofiarą padł NoxPlayer, przez co część użytkowników mogła zostać zainfekowana złośliwym oprogramowaniem.

Czym jest NoxPlayer ?

Jest to bezpłatny emulator systemu operacyjnego Android, który umożliwia posiadaczom komputerów osobistych uruchamianie gier i aplikacji oficjalnie dostępnych wyłącznie na platformach mobilnych. Na oficjalnej stronie aplikacji, w zakładce “O nas” możemy się dowiedzieć, że z NoxPlayer korzysta ponad 150 milionów użytkowników.

To oprogramowanie jest zwykle używane przez graczy do grania w gry mobilne na ich komputerach, co sprawia, że ten incydent jest dość nietypowy. 

Serwer niechcianych aktualizacji

Wektorem do dostarczenia użytkownikom złośliwego oprogramowania był mechanizm aktualizacji. Eset twierdzi że napastnicy włamali się ba serwer res06.bignox.com oraz prawdopodobnie na api.bignox.com.

Przy uruchomieniu NoxPlayer, program wysyła zapytania HTTP do API serwera aktualizacji, a jeśli jest dostępna jakaś nowa aktualizacja, to użytkownikowi wyświetla się komunikat z możliwością jej pobrania.

* Komunikat o nowej aktualizacji wyświetlany użytkownikowi

* Odpowiedź z API serwera aktualizacji

Po kliknięciu przycisku “Update now”, główna aplikacja NoxPlayer.exe przekaże odpowiednie parametry uzyskane z API do NoxPack.exe, odpowiedzialnego za samo pobieranie aktualizacji.

Co jednak, gdy atakujący ma kontrolę nad plikami hostowanymi na res06.bignox.com lub ma dostęp do API, dzięki czemu może zmienić link w parametrze “url” ? Nic dobrego…

Według badaczy, zaobserwowano w sumie aż 3 różne warianty złośliwego oprogramowania dostarczonego przez złośliwe aktualizacje:

1. Nieznany, posiadający zdolność do pobierania & przesyłania plików i uruchamiania komend
2. Gh0st Rat
3. PoisonIvy RAT

Dokładna liczba infekcji nie jest znana, lecz według raportu atakujących interesowała mała, określona grupa użytkowników NoxPlayer, co może sugerować, że osoby odpowiedzialne za atak nie są zwykłymi cyberprzestępcami, którzy kierują się jedynie zyskiem…

ESET datuje początek ataku na wrzesień 2020r., a działania trwały aż do momentu wykrycia, czyli do 25 stycznia 2021r.

Podsumowanie

Ataki na łańcuchy dostaw są i będą dalej dużym zagrożeniem. Jest to również dobry przykład jak coś, z pozoru mającego pozytywny wpływ na nasze bezpieczeństwo (aktualizacje), może zostać wykorzystane przeciwko nam.

–Jakub Bielaszewski