ESET nazval tuto akci NightScout, která byla vysoce cílená a expertům společnosti se podařilo identifikovat jen několik obětí, které sídlí na Tchaj-wanu, v Hongkongu a na Srí Lance.
Aplikaci NoxPlayer je možné stahovat z oficiálních stránek vývojářské společnosti BigNox se sídlem v Hongkongu. Společnost tvrdí, že má více než 150 milionů uživatelů ve více než 150 zemích, kteří mluví alespoň 20 různými jazyky. Nicméně většina uživatelů je z asijských zemí.
"V našich telemetrických datech jsme první indikátory kompromitace viděli v září roku 2020. Aktivita útočníků pokračovala rychlým tempem, až na začátku února 2021 jsme detekovali vysloveně škodlivou aktivitu - v tu chvíli jsme incident nahlásili společnosti BigNox. Máme dostatek důkazů, které potvrzují, že infrastruktura společnosti BigNox byla kompromitována za účelem šíření malware. Naše nálezy dále naznačují, že došlo také ke kompromitaci API. V některých případech docházelo v rámci aktualizací k dodatečnému stahování dalšího malware ze serverů kontrolovaných útočníky. Uživatelům doporučujeme přeinstalování aplikace z čistého média. Společnost BigNox již uvedla, že zavedla potřebná opatření, aby si uživatelé mohli aktualizovat službu bez rizika," říká Robert Šuman, vedoucí výzkumu v české pobočce společnosti ESET.
V tomto konkrétním případě fungoval aktualizační mechanismus emulátoru NoxPlayer jako vektor kompromitace. Pokud NoxPlayer při svém spuštění detekuje novější verzi programu, zobrazí uživateli upozornění s nabídkou aktualizace. Pokud ji uživatel potvrdil, stáhl se mu do zařízení malware.
Celkově analytický tým zachytil tři různé varianty škodlivých aktualizací:
Experti z ESETu v rámci operace NightScout zaznamenali podobné techniky instalace škodlivého kódu do systému jako při útocích přes dodavatelské řetězce na webové stránky myanmarské prezidentské kanceláře v roce 2018 a počátkem roku 2020 na hongkongskou univerzitu.
Článek ESET software spol. s r. o. ze dne 19. března 2021 - pátek
Roste objem bankovního malware pro Android
Třetina únorových útoků mířila na hesla webových prohlížečů
NightScout - cílený kybernetický útok na herní emulátor NoxPlayer
Pro napadené poštovní servery je klíčové instalovat aktualizace s opravou
ESET je největším poskytovatelem bezpečnostních produktů na českém trhu
Zranitelností poštovních serverů Microsoft Exchange přitahuje pozornost hackerů
ESET PROTECT pro komplexní ochranu firemních dat
Vyjádření ESETu k útokům na MPSV a další systémy veřejné správy
Analýza vývoje malware za poslední čtvrtletí 2020
Bankovní malware cílí na české uživatele
Falešné investiční weby lákají na pohádkové zisky
Spyware útočící na hesla je v Česku dlouhodobě nejvážnější hrozbou
Vyděračský phishing je na vzestupu
HPC klastry ohrožuje malware Kobalos
ESET letos očekává narůst útoků na cloudové služby, hesla a osobní údaje
První počítačové viry byly ukázkou dovedností programátorů
Vánocům dominovaly útoky na hesla uložená v prohlížečích
Triky podvodníků cílí na důvěřivé investory
Bezpečnostní software pro Windows od ESETu má další AV-TEST ocenění
Češi a kyberbezpečnost v praxi
ESET potvrzuje pozici předního hráče mezi dodavateli řešení ochrany firemních koncových bodů
Hoax a phishing dominují - cílí na firmy a home office
Studenti během distanční výuky často podceňují bezpečnostní rizika
Pokročilá preventivní ochrana pro e-mail v cloudu a úložiště Microsoft 365
Lepší ochrana před malware pro domácí uživatele s Windows
Malware ATP skupina XDSpy zneužívá strach z koronaviru
Nová verze ESET Mobile Security pro Android
Malware KryptoCibule cílí na těžbu a krádež kryptoměn
Útoky na hesla jsou v Česku dlouhodobě nejvážnějším rizikem
Jak na bezpečné on-line bankovnictví o dovolené
HR české pobočky ESETu vede Marcela Pekníková
Hlídací aplikace často šmírují uživatele mobilních zařízení
ESET vyniká věrností českých zákazníků a cílí na korporátní klientelu
Detekce a řešení neobvyklého chování a narušení zabezpečení koncových bodů v síti
Lidé z domova často pracují bez zajištěného IT vybavení
Útočníci využívají ke špionáži soukromých subjektů backdoor Mikroceen
Dobré heslo je základním prvkem ochrany dat
COVID-19 je aktuálním tématem pro šíření malwaru
Podvodné e-shopy s rouškami se snaží získat osobní data uživatelů
ESET rozšiřuje ochranu firem o Endpoint Antivirus pro Linux
Jak nakupovat online bezpečně v napjaté době epidemie koronaviru
Podvodné emaily zneužívají obav z aktuální bezpečnostní situace
Zranitelnost KR00K postihuje nejběžnější typy WiFi čipů
Scareware jako podvodný antivir láká z uživatelů peníze
Útoky na hesla z prohlížečů jsou pro české uživatele největším rizikem
Vícefaktorové ověřování přístupu do sítě s podporou biometrického přihlašování
Podvodné antiviry pro Android vás vyděsí a připraví o peníze