Grupo de hackers insertó malware en popular emulador de Android
Los investigadores de ESET descubrieron que el mecanismo de actualización de NoxPlayer, un emulador de Android para Windows y macOS fue comprometido. NoxPlayer es desarrollado por la empresa BigNox ubicada en Hong Kong. Este emulador se vio comprometido por un actor de amenaza desconocido y se utilizó para infectar a jugadores (gamers) con malware.
NoxPlayer es utilizado por gamers de más de 150 países de todo el mundo según BigNox. No obstante, como descubrió ESET en enero de 2021, el ataque a la cadena de suministro se centró en infectar solo a jugadores asiáticos. El ataque infectó a los gamers con al menos tres cepas de malware diferentes.
Para enviar el payload a los sistemas objetivos, los hackers detrás de la operación denominada NightScout comprometieron la infraestructura de almacenamiento res06.bignox.com de BigNox. Esto para almacenar el malware y la infraestructura API api.bignox.com para implementar los payloads.
“Tenemos evidencia suficiente para afirmar que la infraestructura de BigNox se vio comprometida para alojar malware. Y, también para sugerir que su infraestructura de API podría haber sido comprometida. En algunos casos, el actualizador de BigNox descargó payloads adicionales desde servidores controlados por atacantes”, dijo el investigador de ESET Ignacio Sanmillan.
Las actualizaciones maliciosas enviadas a través del mecanismo de actualización comprometido de NoxPlayer incluían un malware desconocido. Este malware tiene capacidades de monitoreo y el troyano de acceso remoto (RAT) ampliamente utilizado Gh0st.
Malware
ESET también descubrió un tercer malware, PoisonIvy RAT, mientras investigaba el ataque a la cadena de suministro. No obstante, se envió como un payload de segunda etapa, desde la propia infraestructura de los atacantes. Este no se envió mediante la implementación de actualizaciones maliciosas de NoxPlayer.
A pesar de la gran cantidad de víctimas que podrían haber sido infectadas mientras estuvo oculto el ataque, el atacante no lo hizo. El ataque ocurrió entre septiembre de 2020 cuando comenzó el ataque a la cadena de suministro y enero de 2021 cuando se descubrió. El ataque NightScout optó por infectar cinco objetivos de Taiwán, Hong Kong y Sri Lanka, revelando la naturaleza altamente dirigida de esta operación.
Si bien ESET descubrió otros ataques a la cadena de suministro el año pasado, como la Operación StealthyTrident dirigida a los usuarios de Able Desktop. Asimismo, objetivos bancarios y gubernamentales de WIZVERA VeraPort, y la Operación SignSight que llevó al compromiso del software de firma del gobierno vietnamita. Nightscout es algo así como una bestia diferente.
Esto se debe a que Operation NightScout se centró en los objetivos de la comunidad de gamers. Es una forma algo peculiar y rara vez vista de recopilar información en una operación de ciberespionaje altamente dirigida.
“Para estar seguro, en caso de intrusión, debes realizar una reinstalación estándar desde un medio limpio”, agregó Sanmillan.
“Para los usuarios de NoxPlayer no infectados, no deben descargar ninguna actualización hasta que BigNox envíe una notificación de que han mitigado la amenaza. Además, la mejor práctica sería desinstalar el software”.