NightScout - cílený kybernetický útok na herní emulátor NoxPlayer

Emulátor NoxPlayer je jedna z nejpopulárnějších aplikací, které umožňují spustit mobilní hru na počítači. Analytici ESETu celkově popsali tři rodiny malware, které ve škodlivých aktualizacích obsahovaly funkce ke kybernetické špionáži. Malware byl distribuován vybraným obětem v upravených škodlivých aktualizacích.

ESET nazval tuto akci NightScout, která byla vysoce cílená a expertům společnosti se podařilo identifikovat jen několik obětí, které sídlí na Tchaj-wanu, v Hongkongu a na Srí Lance.

Aplikaci NoxPlayer je možné stahovat z oficiálních stránek vývojářské společnosti BigNox se sídlem v Hongkongu. Společnost tvrdí, že má více než 150 milionů uživatelů ve více než 150 zemích, kteří mluví alespoň 20 různými jazyky. Nicméně většina uživatelů je z asijských zemí.

"V našich telemetrických datech jsme první indikátory kompromitace viděli v září roku 2020. Aktivita útočníků pokračovala rychlým tempem, až na začátku února 2021 jsme detekovali vysloveně škodlivou aktivitu - v tu chvíli jsme incident nahlásili společnosti BigNox. Máme dostatek důkazů, které potvrzují, že infrastruktura společnosti BigNox byla kompromitována za účelem šíření malware. Naše nálezy dále naznačují, že došlo také ke kompromitaci API. V některých případech docházelo v rámci aktualizací k dodatečnému stahování dalšího malware ze serverů kontrolovaných útočníky. Uživatelům doporučujeme přeinstalování aplikace z čistého média. Společnost BigNox již uvedla, že zavedla potřebná opatření, aby si uživatelé mohli aktualizovat službu bez rizika," říká Robert Šuman, vedoucí výzkumu v české pobočce společnosti ESET.

V tomto konkrétním případě fungoval aktualizační mechanismus emulátoru NoxPlayer jako vektor kompromitace. Pokud NoxPlayer při svém spuštění detekuje novější verzi programu, zobrazí uživateli upozornění s nabídkou aktualizace. Pokud ji uživatel potvrdil, stáhl se mu do zařízení malware.

Celkově analytický tým zachytil tři různé varianty škodlivých aktualizací:

První nebyla doposud zdokumentovaná, obsahuje funkce pro monitorování oběti

Druhou tým ESETu detekoval při stahování z legitimní infrastruktury BigNox - po její aplikaci stahovala malware Gh0st RAT (s funkcemi keyloggeru) - zkratka RAT označuje Remote Access Trojan, tedy trojského koně, který umožňuje útočníkům na dálku monitorovat a ovládat infikované zařízení

Třetí varianta, PoisonIvy RAT, byla zachycena až následně po předchozích škodlivých aktualizacích a byla stahována z infrastruktury ovládané útočníky, obě hrozby, Gh0st RAT i PoisonIvy RAT jsou mezi kybernetickými útočníky obecně velmi populární

Experti z ESETu v rámci operace NightScout zaznamenali podobné techniky instalace škodlivého kódu do systému jako při útocích přes dodavatelské řetězce na webové stránky myanmarské prezidentské kanceláře v roce 2018 a počátkem roku 2020 na hongkongskou univerzitu.