Un grupo de hackers insertó malware en el emulador de Android NoxPlayer

Imagen: BigNox, ZDNet

Un misterioso grupo de piratería ha comprometido la infraestructura del servidor de un emulador de Android standard y ha entregado malware a un puñado de víctimas en toda Asia en un ataque de cadena de suministro altamente dirigido.

El ataque fue descubierto por la firma de seguridad eslovaca ESET el 25 de enero de la semana pasada y apuntó a BigNox, una compañía que fabrica NoxPlayer, un cliente de software program para emular aplicaciones de Android en computadoras de escritorio Home windows o macOS.

El actor de amenazas comprometió una de las API oficiales de la compañía (api.bignox.com) y los servidores de alojamiento de archivos (res06.bignox.com).

Al utilizar este acceso, los piratas informáticos manipularon la URL de descarga de las actualizaciones de NoxPlayer en el servidor de la API para enviar malware a Usuarios de NoxPlayer.

“Se detectaron tres familias de malware diferentes distribuidas a partir de actualizaciones maliciosas personalizadas a víctimas seleccionadas, sin signos de aprovechar ninguna ganancia financiera, sino capacidades relacionadas con la vigilancia”

Dijo ESET en un informe compartido hoy con ZDNet. que los atacantes tenían acceso a los servidores de BigNox desde al menos septiembre de 2020, ESET dijo que el actor de amenazas no apuntó a todos los usuarios de la compañía, sino que se centró en máquinas específicas, sugiere Este fue un ataque altamente dirigido que busca infectar solo a una determinada clase de usuarios.

Hasta hoy, y basándose en su propia telemetría, ESET dijo que detectó actualizaciones de NoxPlayer con malware que se entregaron a solo cinco víctimas, ubicadas en Taiwán, Hong Kong y Sri Lanka.

ESET ha publicado hoy un informe con detalles técnicos para NoxPlayers para determinar si recibieron una actualización con malware y cómo eliminar el malware.

Además ESET dijo que BigNox negó haber sido pirateado la semana pasada. Después de que este artículo se publicó, un portavoz de BigNox le dijo a ZDNet en un correo electrónico que ahora se han comprometido con ESET para investigar más la violación y que las comunicaciones iniciales fueron solo un malentendido.

La compañía con sede en Hong Kong también dijo que implementó varias contramedidas y seguridad. actualizaciones desde que se enteró del hack, tales como:

  • usar solo HTTPS para entregar actualizaciones de software program con el fin de minimizar los riesgos de secuestro de dominio y ataques Man-in-the-Center (MitM);
  • implementar la verificación de la integridad del archivo mediante hash MD5 y verificación de firma de archivo;
  • ESET descarta la operación de ciberdelincuencia, en especifico el cifrado de datos confidenciales, para evitar exponer la información privada de los usuarios.

ESET no sabe quién está detrás del ataque, pero sabe quién no fue. “Descartamos la posibilidad de que esta operación sea la producto de algún grupo motivado financieramente “, dijo hoy un portavoz de ESET a ZDNet por correo electrónico. “Todavía estamos investigando, pero hemos encontrado correlaciones tangibles con un grupo internamente llamamos Stellera, de la que informaremos en un futuro próximo “.

Estas correlaciones se referían a las tres cepas de malware implementadas a través de actualizaciones maliciosas de NoxPlayer, que según ESET contenían “similitudes” con otras cepas de malware utilizadas en un compromiso de la cadena de suministro del sitio internet de la oficina presidencial de Myanmar en 2018 y principios de 2020 en una intrusión en una universidad de Hong Kong.

Este incidente también es el tercer ataque a la cadena de suministro descubierto por ESET en los últimos dos meses.

  • El primero es el caso de Ready Desktop, software program utilizado por muchas agencias gubernamentales de Mongolia.
  • El segundo es el caso de la VGCA, la autoridad certificadora oficial del gobierno vietnamita, actualizado a las 3:30 pm ET con comentarios de ESET. Actualizado nuevamente el 2 de febrero a las 7:20 am ET y el 4 de febrero a las 6:15 pm ET, con una declaración de BigNox.
Ir arriba