به گزارش کارگروه حملات سایبری سایبربان؛ محققان شرکت امنیتی ایست (ESET) اعلام کردند یک گروه هکری ناشناس با انجام حملات زنجیره تأمین توسعهدهندگان شبیهساز اندروید نوکس پلیر (NoxPlayer) را هدف قرار داده و مکانیسم بهروزرسانی این برنامه را آلوده کردهاند.
نوکس پلیر یک نرمافزار رایگان بوده و برای شبیهسازی برنامههای اندروید روی سیستمهای ویندوزی و مکاواس اختصاصیافته است. توسعهدهنده این شبیهساز شرکت هنگکنگی بیگ نوکس (BigNox) است که بیش از 150 میلیون کاربر در 150 کشور دنیا دارد.
کارشناسان ایست حمله به بیگ نوکس را 25 ژانویه 2021 شناسایی کردهاند. حمله به زنجیره تأمین بیشتر با اهداف جاسوسی و جمعآوری دادههای گیمرها انجامشده تا باهدف کسب منافع مالی.
مهاجمان با نفوذ به یکی از رابطهای رسمی API شرکت (api.bignox.com) سرورهای فایل هاستینگ (res06.bignox.com) را آلوده کردهاند.
هکرها با کسب دسترسیهای لازم و دستکاری آدرسهای URL بهروزرسانیها را بارگیری کرده و بدافزار را در میان کاربران نوکس پلیر توزیع نمودهاند.
زمانی که کاربران نوکس پلیر با نصب نسخههای بهروزرسانی این برنامه موافقت کردهاند، یک بدافزار نصب کردهاند و سیستمهایشان آلودهشده است. آلودگی از طریق مکانیسم بهروزرسانی شبیهساز گسترش پیدا کرده است.
ایست سه نوع مختلف از بهروزرسانیهای مخرب را شناسایی کرده که دو مورد از آنها از زیرساخت قانونی بیگ نوکس ازجمله Gh0st RAT باقابلیتهای کیلاگر بارگیری شدهاند. مورد سوم ابزار دسترسی از راه دور PoisonIvy RAT بوده که از زیرساخت تحت کنترل مهاجمان بارگیری شده است.
کاربرانی که تحت تأثیر این حمله قرارگرفتهاند میبایست برنامه شبیهساز را حذف کنند. ایست به کاربرانی که بهروزرسانی انجام ندادهاند توصیه کرده منتظر اعلام رسمی بیگ نوکس مبنی بر رفع خطر باشند.
