Антивирусная компания ESET сообщила о раскрытии её экспертами новой атаки на цепочку поставок, объектом которой стал механизм обновления популярного приложения для геймеров NoxPlayer.
NoxPlayer разработан компанией BigNox из Гонконга и предназначен для запуска Android-приложений на компьютерах под управлением операционных систем Windows и Mac. Число пользователей эмулятора по всему миру превышает 150 млн человек.
«По данным телеметрии ESET, первые признаки компрометации были зафиксированы в сентябре 2020 года. Вредоносная активность продолжалась до момента обнаружения на прошлой неделе, о чем также было предупреждено компанию BigNox», — приводят в компании слова исследователя ESET Игнасио Санмиллана.
Изучив характер и последствия взлома, эксперты пришли к выводу, что атака на цепочку поставок не была нацелена на получение немедленной финансовой выгоды. Доставленное пользователям вредоносное ПО является шпионским и предназначено для сбора данных об участниках игрового сообщества. Заражение осуществляется через механизм обновления эмулятора. Вредоносное ПО загружается, когда пользователь соглашается установить новую версию NoxPlayer.
В ESET детектировали три различных варианта вредоносных обновлений. Два из них загружались из легитимной инфраструктуры BigNox, в том числе Gh0st RAT с возможностями кейлоггера. Третий вариант – инструмент удаленного доступа PoisonIvy RAT – загружался из инфраструктуры, контролируемой злоумышленниками.
Скомпрометированным пользователям NoxPlayer рекомендуется удалить программу-эмулятор или выполнить стандартную переустановку с чистого носителя. Тем, кто давно не обновлялся, сотрудники ESET советуют дождаться официального уведомления BigNox об устранении угрозы.