Los investigadores de ESET han descubierto que NoxPlayer, un
emulador de Android para Windows y macOS, fabricado por la empresa BigNox con
sede en Hong Kong, se vio comprometido por un Hackers y se esra utilizando para
infectar a los jugadores con malware.
NoxPlayer es utilizado por jugadores de más de 150 países de
todo el mundo según BigNox, pero ESET descubrió en enero de 2021 que está
siendo utilizado para ataques informáticos centrados en infectar por el momento
solo a jugadores asiáticos con al menos tres cepas de malware diferentes.
El grupo de piratas informáticos detrás de la operación
denominada NightScout comprometió la infraestructura de almacenamiento
res06.bignox.com de BigNox para almacenar el malware y la infraestructura API
api.bignox.com para implementar payloads.
“Tenemos evidencia suficiente para afirmar que la
infraestructura de BigNox se vio comprometida para alojar malware y también
para sugerir que su infraestructura de API podría haber sido comprometida. En
algunos casos, el actualizador de BigNox descargó payloads desde servidores
controlados por atacantes”, dijo el investigador de ESET Ignacio Dijo
Sanmillan.
Las actualizaciones maliciosas entregadas a través del
mecanismo de actualización comprometido de NoxPlayer incluían un malware
desconocido con capacidades de monitoreo y el troyano de acceso remoto (RAT)
Gh0st ampliamente utilizado.
Operation NightScout victims (ESET)
ESET también descubrió un tercer malware, PoisonIvy RAT,
mientras investigaba el ataque a la cadena de suministro, se encontró un
payload de segunda etapa, desde la propia infraestructura de los atacantes y no
mediante la implementación de actualizaciones maliciosas de NoxPlayer.
A pesar de la gran cantidad de víctimas que podrían haber
sido infectadas entre septiembre de 2020 cuando comenzó el ataque a la cadena
de suministro y enero de 2021 cuando se descubrió, según ESET los piratas informáticos NightScout
optaron por infectar objetivos de Taiwán, Hong Kong y Sri Lanka.
Si bien ESET descubrió otros ataques a la cadena de
suministro el año pasado, como la Operación StealthyTrident dirigida a los
usuarios de Able Desktop, los objetivos bancarios y gubernamentales de WIZVERA
VeraPort, y la Operación SignSight que comprometió software del gobierno
vietnamita, Nightscout es algo así como una bestia diferente.
Esto se debe a que Operation NightScout se centró en los
objetivos de la comunidad de jugadores, una forma algo peculiar y rara vez
vista de recopilar información en una operación de ciberespionaje altamente
dirigida.
“Para estar seguro, en caso de intrusión, realice una
reinstalación estándar desde un medio limpio”, dijo Sanmillan.
“Para los usuarios de NoxPlayer no infectados, no
descarguen ninguna actualización hasta que BigNox envíe una notificación de que
han mitigado la amenaza; además, la mejor práctica sería desinstalar el
software”.
Un portavoz de BigNox le dijo que no se les dio suficiente
tiempo para revisar completamente el informe de ESET antes de su publicación.
BigNox ahora se ha puesto en contacto con ESET para investigar más el
incidente.
“En su informe, la precisión de la información y los
datos detallados se verifica y procesa activamente, por lo que los informes no
se pueden publicar sin nuestro acuerdo”, dijo BigNox. “Necesitamos
revisar todos los archivos para asegurarnos de los detalles del informe”.
ESET dijo que después de revelar sus hallazgos el 25 de
enero de 2021, BigNox negó haber sido afectado. “También hemos ofrecido
nuestro apoyo para ayudarlos a superar la divulgación en caso de que decidan
realizar una investigación interna”, agregó Sanmillan.
