安全研究人员发现了多种可影响流行的Android模拟器的恶意软件。似乎并没有感染尽可能多的设备,而是所涉及的威胁参与者专门针对亚洲在线游戏社区中的某些个人。
“在2021年1月,我们发现了一种新的供应链攻击,这种攻击破坏了NoxPlayer的更新机制,NoxPlayer是一种用于PC和Mac的Android仿真器,并且是BigNox产品范围的一部分,在全球拥有超过1.5亿用户,” ESET之一伊格纳西奥·桑米兰(Ignacio Sanmillan)解释说。发现袭击的研究人员。游戏者通常使用此软件来从其PC上玩手机游戏,这使这一事件有些不同寻常。发现了三个不同的恶意软件家族,它们是从量身定制的恶意更新中分发给选定的受害者的,没有迹象表明可以利用任何财务收益,而具有监视相关的功能。”
黑客组织“ NightScout”在入侵BigNox的存储基础架构后,提供了各种恶意软件。然后,该小组渗透到BigNox的API基础结构中,以提供其恶意负载。
不更新
当毫无戒心的NoxPlayer用户下载更新时,他们在不知不觉中下载了具有监视相关功能的多种恶意软件。第一个以前没有记录,而第二个是Ghost远程访问木马(RAT)的变体。NightScout还提供了第二阶段的有效载荷PoisonIvy RAT,但使用的是它们自己的基础结构,而不是使用受损的NoxPlayer更新。
有趣的是,似乎NightScout仅感染了位于台湾,香港和斯里兰卡的五个NoxPlayer用户,并进行了恶意更新。尽管有针对性的网络攻击并不罕见,但它们更常用于攻击政府官员或知名商人。目前尚不清楚为何NightScout会针对游戏社区进行间谍活动。
无论出于何种动机,建议NoxPlayer用户从干净的媒体上重新安装该应用程序,并拒绝任何更新,直到BigNox确认已减轻恶意软件感染为止。