V únoru výzkumný tým společnosti ESET odhalil útok na aktualizace herního emulátoru NoxPlayer. Celkově analytici popsali tři rodiny malware, které obsahovaly funkce ke kybernetické špionáži. Malware byl distribuován vybraným obětem v upravených škodlivých aktualizacích. ESET nazval tuto akci NightScout. Útoky na dodavatelské řetězce jsou v poslední době na vzestupu.
Emulátor NoxPlayer je jedna z nejpopulárnějších aplikací, které umožnují spustit mobilní hru na počítači. Aplikaci NoxPlayer je možné stahovat z oficiálních stránek vývojářské společnosti BigNox se sídlem v Hongkongu. Společnost tvrdí, že má více než 150 milionů uživatelů ve více než 150 zemích, kteří mluví alespoň 20 různými jazyky. Nicméně většina uživatelů je z asijských zemí.
„V našich telemetrických datech jsme první indikátory kompromitace viděli v září roku 2020. Aktivita útočníků pokračovala rychlým tempem, až na začátku února jsme detekovali vysloveně škodlivou aktivitu. V tu chvíli jsme incident nahlásili společnosti BigNox,“ popisuje Robert Šuman, vedoucí výzkumu v české pobočce společnosti ESET.
Operace NightScout byla vysoce cílená. Expertům společnosti ESET se podařilo identifikovat jen několik obětí, které sídlí na Tchaj-wanu, v Hongkongu a na Srí Lance.
V tomto konkrétním případě fungoval aktualizační mechanismus emulátoru NoxPlayer jako vektor kompromitace. Pokud NoxPlayer při svém spuštění detekuje novější verzi programu, zobrazí uživateli upozornění s nabídkou aktualizace. Pokud ji uživatel potvrdil, stáhl se mu do zařízení malware.
„Máme dostatek důkazů, které potvrzují, že infrastruktura společnosti BigNox byla kompromitována za účelem šíření malware. Naše nálezy dále naznačují, že došlo také ke kompromitaci API. V některých případech docházelo v rámci aktualizací k dodatečnému stahování dalšího malware ze serverů kontrolovaných útočníky,“ dodává Šuman.
Celkově analytický tým zachytil tři různé varianty škodlivých aktualizací. Ta první, která nebyla doposud zdokumentovaná, obsahuje funkce pro monitorování oběti.
Malware Gh0st RAT (s funkcemi keyloggeru)
Druhou tým ESETu detekoval při stahování z legitimní infrastruktury BigNox. Po její aplikaci stahovala malware Gh0st RAT (s funkcemi keyloggeru). Zkratka RAT označuje Remote Access Trojan, tedy trojského koně, který umožňuje útočníkům na dálku monitorovat a ovládat infikované zařízení.
Třetí varianta, PoisonIvy RAT, byla zachycena až následně po předchozích škodlivých aktualizacích a byla stahována z infrastruktury ovládané útočníky. Obě hrozby, Gh0st RAT i PoisonIvy RAT, jsou mezi kybernetickými útočníky obecně velmi populární.
Experti z ESETu v rámci operace NightScout zaznamenali podobné techniky instalace škodlivého kódu do systému jako při útocích přes dodavatelské řetězce na webové stránky myanmarské prezidentské kanceláře v roce 2018 a počátkem roku 2020 na hongkongskou univerzitu.
„Uživatelům doporučujeme přeinstalování aplikace z čistého média. Společnost už uvedla, že zavedla potřebná opatření, aby si uživatelé mohli aktualizovat službu bez rizika,“ radí Šuman.
