Разработчики антивирусного ПО из компании ESET обнаружили серию вредоносных программ, нацеленных на шпионаж за пользователями популярнейшего эмулятора NoxPlayer, который позволяет запускать приложения и игры для Android на компьютерах под управлением Windows и macOS.
Эксперты ESET обнаружили первые признаки взлома ещё в сентябре 2020 года, а в конце января 2021-го активность приобрела явный вредоносный характер. После этого они сообщили об инциденте в BigNox — компанию-разработчик NoxPlayer.
Целью злоумышленников стал механизм обновления эмулятора. После изучения характера и последствий взлома эксперты пришли к выводу, что атака на цепочку поставок не была нацелена на получение немедленной финансовой выгоды. По их словам, доставленное пользователям вредоносное ПО — шпионское и предназначено для сбора данных об участниках игрового сообщества. Заражение компьютера осуществляется при обновлении эмулятора, когда пользователь соглашается установить новую версию приложения.
В ESET смогли определить три различных варианта вредоносных обновлений. Два из них загружались из легитимной инфраструктуры BigNox, а третий — инструмент удалённого доступа PoisonIvy RAT — загружался из инфраструктуры, контролируемой злоумышленниками.
Скомпрометированным пользователям NoxPlayer рекомендуется удалить программу-эмулятор или выполнить стандартную переустановку с чистого носителя. Тем, кто давно не обновлялся, сотрудники ESET советуют дождаться официального уведомления BigNox об устранении угрозы.
Скомпрометированным пользователям NoxPlayer рекомендуется удалить программу-эмулятор или выполнить стандартную переустановку с чистого носителя. Тем, кто давно не обновлялся, сотрудники ESET советуют дождаться официального уведомления BigNox об устранении угрозы.
