Read, hack, repeat

Cibercriminosos comprometem emulador NoxPlayer, para espionar cinco vítimas específicas

Guilherme Petry

Cibercriminosos não identificados atacaram e comprometeram a infraestrutura de servidores do NoxPlayer - um aplicativo emulador de Android para Windows e Macbook, desenvolvido pela BigNox -, e com isso, enviaram malwares para cinco vítimas específicas na Ásia. Um ataque direcionado à cadeia de suprimentos, sem responsáveis identificados, informa a ESET.

No final de janeiro deste ano, pesquisadores da ESET (empresa eslovaca de segurança da informação) identificaram que um servidor de API, o “api.bignox.com”, assim como um servidor de banco de dados, o “res06.bignox.com”, pertencentes à BigNox, foram comprometidos em setembro de 2020.

A BigNox é uma desenvolvedora de software com sede em Hong Kong. Segundo a própria empresa, o emulador NoxPlayer, seu principal produto até o momento, conta com mais de 150 milhões de usuários ao redor do mundo, majoritariamente asiáticos.

O ataque

Como explica a ESET, com acesso aos servidores (API e banco de dados), os cibercriminosos adulteraram o endereço de uma atualização do NoxPlayer, substituindo-a por uma atualização infectada com pelo menos 3 tipos de malwares, feitos sob medida para atingir determinados usuários.

Mensagem de atualização do NoxPlayer. Foto: ESET.
Mensagem de atualização do NoxPlayer. Foto: ESET.

Este ataque é muito semelhante ao ataque à cadeia de suprimentos da SolarWinds, que começou no final de dezembro de 2020, que não tinha objetivos de danificar dados, mas sim, de espionar os usuários da solução comprometida.

“Três famílias de malware diferentes foram localizadas sendo distribuídas a partir de atualizações maliciosas personalizadas para vítimas selecionadas, sem nenhum sinal de alavancagem de qualquer ganho financeiro, mas sim recursos relacionados à vigilância”, escreve Ignacio Sanmillan, pesquisador de malware na ESET.

Embora a empresa possua mais de 150 milhões de usuários no mundo todo. Os cibercriminosos, não tinham interesse em vigiar todos os usuários dessa ferramenta. O ataque foi direcionado a apenas cinco asiáticos, divididos entre os países, Taiwan, Hong Kong e Sri Lanka.

Mapa com a localização das vítimas identificadas pela operação “NightScout”. Foto: ESET.
Mapa com a localização das vítimas identificadas pela operação “NightScout”. Foto: ESET.

“Em comparação com o número geral de usuários ativos do NoxPlayer, há um número muito pequeno de vítimas. De acordo com a telemetria da ESET, mais de 100.000 de usuários têm NoxPlayer instalado em suas máquinas. Entre eles, apenas 5 usuários receberam uma atualização maliciosa, mostrando que a Operação NightScout é uma operação altamente direcionada”, escreve o pesquisador Sanmillan.

A ESET informa que entrou em contato com a BigNox para oferecer soluções de segurança e investigação interna, mas a empresa negou ter sido atacada. “Entramos em contato com o BigNox sobre a intrusão e eles negaram ter sido afetados. Também oferecemos nosso apoio para ajudá-los a superar a divulgação, caso decidam conduzir uma investigação interna”, diz Sanmillan.

Este é o terceiro ataque à cadeia de suprimentos descobertos pela ESET desde dezembro de 2020. O primeiro envolve o software Able, de gestão de recursos humanos, utilizado pelo governo da Mangólia. O segundo envolve um software de emissão de certificações oficiais, utilizado pelo governo do Vietnam.

“Detectamos vários ataques à cadeia de suprimentos no ano passado [... O ataque que envolve o NoxPlayer] é particularmente interessante devido à vertical direcionada, visto que raramente encontramos muitas operações de espionagem cibernética visando jogadores online [...] Os ataques à cadeia de suprimentos continuarão a ser um vetor de compromisso comum, alavancado por grupos de espionagem cibernética, e sua complexidade pode impactar a descoberta e mitigação desse tipo de incidente”, conclui o pesquisador.


Fonte: Welivesecurity (ESET).

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.