I ricercatori di sicurezza di Eset hanno scoperto che i sistemi che distribuiscono gli aggiornamenti di NoxPlayer, un popolare emulatore Android per PC e Mac, sono stati compromessi dagli hacker. Anche una parte dei prodotti di BigNox, la società che produce l'emulatore, che conta oltre 150 milioni di utenti in tutto il mondo, è stata colpita.
Tuttavia l'attacco non era generalista e rivolto alla maggior parte degli utenti possibili, ma al contrario è stato diretto verso obiettivi molto specifici. In particolare, gli hacker hanno preso di mira determinati individui all'interno della comunità asiatica del gioco online.
Ignacio Sanmillan di Eset ha spiegato che: "Nel gennaio 2021, abbiamo scoperto un nuovo attacco alla catena di fornitura che andava a compromettere il meccanismo di aggiornamento di NoxPlayer. Questo software viene generalmente utilizzato dai giocatori per emulare i titoli mobile su PC. Si tratta di un incidente piuttosto insolito, in quanto sono state individuate tre diverse famiglie di malware, distribuite da aggiornamenti dannosi, realizzati su misura nei confronti vittime selezionate. Le infezioni non avrebbero permesso di sottrarre denaro, ma venivano utilizzate da remoto per sorvegliare gli utenti".
I diversi ceppi di malware sono stati caricati da un gruppo di hacker noto come "NightScout" dopo che il gruppo è riuscito a compromettere l'infrastruttura di archiviazione di BigNox. Successivamente si sono infiltrati nelle API di BigNox per caricare i payload dannosi.
- Antivirus Avira Prime, la migliore protezione per PC al prezzo più basso
- I migliori antivirus del 2021
- Antivirus a pagamento vs antivirus gratuito: quale scegliere?
Non aggiornate
Quando gli ignari utenti di NoxPlayer scaricavano un aggiornamento, questo comprendeva più ceppi di malware dotati di funzionalità di sorveglianza.
Il primo di questi malware era totalmente sconosciuto, mentre il secondo era una variante del "Ghost access trojan" (RAT). NightScout ha anche diffuso un payload di secondo livello, il PoisonIvy RAT, utilizzando la propria infrastruttura anziché quella di NoxPlayer.
È interessante notare che, almeno apparentemente, solo cinque utenti NoxPlayer siano stati infettati dal gruppo NightScout. Gli utenti sono situati a Taiwan, Hong Kong e in Sri Lanka.
Sebbene gli attacchi informatici mirati non siano così insoliti, sono più comunemente usati per prendere di mira funzionari governativi o uomini d'affari di alto profilo.
Al momento non è chiaro perché NightScout abbia condotto un'operazione di spionaggio rivolta alla comunità dei giocatori.
Qualunque sia la motivazione, si consiglia agli utenti di NoxPlayer di reinstallare l'app da supporti puliti e di non effettuare alcun aggiornamento fino a quando BigNox non avrà confermato che le infezioni da malware sono state debellate.
Fonte: Bleeping Computer
