Злоумышленники внедрили шпионов в обновления для NoxPlayer

Татьяна Никитина 02 Февраля 2021 - 08:56

Домашние пользователи

Таргетированные атаки

...

Злоумышленники внедрили шпионов в обновления для NoxPlayer

Неизвестные хакеры получили доступ к серверам создателя Android-эмулятора NoxPlayer и подменили URL-указатели обновлений, готовых к раздаче. В итоге на машины пользователей избирательно устанавливаются троянизированные версии апдейтов, загружающие программу-шпиона. На настоящий момент выявлено пять жертв целевых атак в Гонконге, Шри-Ланке и на Тайване.

Эмулятор платформы Android разработки гонконгской компании BigNox зачастую используется для запуска онлайн-игр на компьютерах под управлением Windows и macOS. По оценке BigNox, ее продукт NoxPlayer установили свыше 150 млн пользователей, проживающих в 150 странах.

Атаку на инфраструктуру BigNox обнаружили исследователи из ESET — в ИБ-компании ей присвоили кодовое название «Операция NightScout». По данным специалистов, взлом сети создателя NoxPlayer произошел как минимум в сентябре прошлого года; злонамеренный характер этого вторжения стал очевидным 25 января. Исследователи полагают, что конечной целью авторов атаки является сбор информации об определенных геймерах, использующих продукт BigNox.

Расследование показало, что злоумышленникам удалось взломать файловый сервер BigNox (res06.bignox.com) и загрузить на него зловреда. Скорее всего, они также скомпрометировали API, через который NoxPlayer получает информацию о наличии обновлений.

В отличие от легитимных апдейтов вредоносные файлы не имеют цифровой подписи. По всей видимости, систему сборки кода атака на BigNox не затронула.

Исследователям удалось выявить три варианта полезной нагрузки, раздаваемой под видом обновлений NoxPlayer. Одна из них — недокументированный бэкдор, способный по команде удалять, сливать на сторону или загружать файлы.

Вторая состояла из нескольких файлов и маскировалась под Windows-утилиту Sandboxie, позволяющую запускать приложения в песочнице. На поверку зловред оказался загрузчиком Gh0st RAT — трояна, обычно используемого в APT-атаках с целью шпионажа.

Оба эти вредоноса раздавались с взломанного сервера BigNox в сентябре. Позднее злоумышленники подняли собственный сервер фальшивых апдейтов, который начал отдавать загрузчика другого хорошо известного шпиона — PoisonIvy. Этот RAT-троян тоже некогда пользовался большой популярностью у APT-групп.

Полученные результаты ESET попыталась передать в BigNox, но создатель NoxPlayer заявил, что вторжение не имело для него никаких последствий. От помощи в расследовании он тоже отказался.

Пользователям затронутого продукта эксперты советуют переустановить его с чистого носителя. Загружать обновления с серверов BigNox пока не рекомендуется, а лучше вовсе деинсталлировать NoxPlayer.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 10 Февраля 2026 - 13:25

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Сегодня в России начали замедлять работу Telegram

Власти приняли решение начать работу по замедлению мессенджера Telegram в России. Об этом РБК сообщили источник в ИТ-индустрии и два источника в профильных ведомствах. По словам собеседников издания, Роскомнадзор планирует приступить к частичному ограничению работы сервиса уже во вторник, 10 февраля.

Ещё один источник утверждает, что меры по замедлению Telegram уже применяются. РБК направил официальный запрос в Роскомнадзор, однако на момент публикации ответа не получил.

Ранее регулятор уже вводил точечные ограничения в отношении мессенджеров. Так, в августе 2025 года Роскомнадзор ограничил звонки в Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России).

Тогда в ведомстве объясняли это тем, что мессенджеры стали основными каналами для мошенничества, вымогательства и вовлечения граждан в диверсионную и террористическую деятельность.

В октябре Роскомнадзор сообщил о частичных ограничениях Telegram и WhatsApp «в целях противодействия преступникам». При этом в декабре глава комитета Госдумы по информационной политике Сергей Боярский заявлял, что о полной блокировке Telegram пока речи не идёт. По его словам, мессенджер давно превратился в полноценную социальную сеть, в развитие которой вложены значительные ресурсы.

В середине января член комитета Госдумы по информполитике Андрей Свинцов утверждал, что Telegram замедляют из-за недостаточно быстрой блокировки анонимных каналов. В ответ на это в Роскомнадзоре тогда заявили РБК, что новые ограничительные меры в отношении Telegram не применяются.

Однако спустя несколько дней зампред Совета по развитию цифровой экономики при Совфеде Артём Шейкин сообщил, что работа Telegram в России постепенно блокируется, связав это с отказом мессенджера выполнять требования по пресечению преступной деятельности.

На фоне этих заявлений 9 и 10 февраля пользователи в России массово жаловались на сбои в работе Telegram, следует из данных сервисов Downdetector и «Сбой.рф». В основном сообщалось о проблемах с загрузкой медиафайлов и снижении скорости работы сервиса. Аналогичные жалобы фиксировались и ранее — в середине января и в конце декабря.

Официального подтверждения начала замедления Telegram со стороны Роскомнадзора пока нет, однако совокупность заявлений и пользовательских жалоб указывает на то, что мессенджер вновь оказался под давлением регулятора.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »