In einer jüngsten Entwicklung hat eine unbekannte Hackergruppe den beliebten Android-Emulator NoxPlayer in die Hände bekommen, um Malware auf die Geräte der Opfer im asiatischen Raum einzuschleusen. Der Angriff zielt auf BigNox ab und wurde letzte Woche von der slowakischen Sicherheitsfirma ESET entdeckt. Anscheinend ist NoxPlayer unter Geeks berühmt, die gerne Android-Apps (meistens Spiele) auf ihrem emulieren Windows oder macOS-System. Nach Angaben der Sicherheitsfirma stammt der Angriff von einem nicht identifizierten Thread-Monger, der sich Zugang zu den digitalen Ressourcen des Unternehmens verschafft hat.
Diesen Hack erreichten die Angreifer, indem sie sich in die offizielle API des Unternehmens (api.bignox.com) und die Datei-Hosting-Server (res06.bignox.com) einschlichen. Sobald sie im nächsten Schritt waren, mussten sie die Download-URL der NoxPlayer-Updates ändern und die Malware in der Datei installieren, die auf das System des unglücklichen Benutzers heruntergeladen werden würde.
Hauptmotiv waren laut ESET keine monetären Forderungen oder Hacks, sondern überwachungsbezogene Fähigkeiten. Dabei kamen drei verschiedene Malware zum Einsatz, die auf ausgewählte Opfer zugeschnitten war.
Es ist ein wenig verblüffend, dass die Hacker seit September letzten Jahres Zugriff auf den BigNox-Server hatten, aber sie verfolgten eine besondere Strategie, um nicht erwischt zu werden. Sie zielten auf einige Maschinen einer bestimmten Benutzerklasse ab – insbesondere auf die Online-Gaming-Community.
Das ist der Grund, warum bisher nur fünf Opfer in Asien – unter anderem in Taiwan, Hongkong und Sri Lanka. Um anderen zu helfen, nicht Opfer des Malware-Angriffs zu werden, hat ESET seinen Bericht mit den Details der Methodik und wie Sie feststellen können, ob Ihr NoxPlayer infiziert ist oder nicht, veröffentlicht.
Laut ESET untersuchen sie weiter, um die beteiligte Gruppe zu identifizieren, und sie bezweifeln, dass eine Verbindung zu einer Gruppe besteht, die das Team intern als Stellera bezeichnet. Sie schlossen dies aufgrund der Ähnlichkeiten der Malware-Stämme mit denen, die auf der 2018 gehackten offiziellen Website des Präsidenten von Myanmar verwendet wurden. Diese Verletzung zielte auf die Hong Kong University ab.
UPDATE (3. Februar 2021):
ESET-Updates: Nach der Veröffentlichung unserer Untersuchung hat BigNox uns kontaktiert, um uns mitzuteilen, dass ihre anfängliche Ablehnung der Kompromittierung ein Missverständnis ihrerseits war und dass sie seitdem folgende Schritte unternommen haben, um die Sicherheit für ihre Benutzer zu verbessern:
- Verwenden Sie nur HTTPS, um Software-Updates bereitzustellen, um die Risiken von Domain-Hijacking und Man-in-the-Middle (MitM)-Angriffen zu minimieren
- Implementieren Sie die Überprüfung der Dateiintegrität mithilfe von MD5-Hashing und Dateisignaturprüfungen
- zusätzliche Maßnahmen ergreifen, insbesondere die Verschlüsselung sensibler Daten, um zu vermeiden, dass die personenbezogenen Daten der Benutzer preisgegeben werden
BigNox hat auch erklärt, dass sie die neuesten Dateien auf den Update-Server für NoxPlayer gepusht haben und dass NoxPlayer nun beim Start eine Überprüfung der zuvor auf den Computern der Benutzer installierten Anwendungsdateien durchführt.
ESET übernimmt keine Verantwortung für die Richtigkeit der von BigNox bereitgestellten Informationen.
