Злоумышленники внедрили шпионов в обновления для NoxPlayer

Злоумышленники внедрили шпионов в обновления для NoxPlayer

Злоумышленники внедрили шпионов в обновления для NoxPlayer

Неизвестные хакеры получили доступ к серверам создателя Android-эмулятора NoxPlayer и подменили URL-указатели обновлений, готовых к раздаче. В итоге на машины пользователей избирательно устанавливаются троянизированные версии апдейтов, загружающие программу-шпиона. На настоящий момент выявлено пять жертв целевых атак в Гонконге, Шри-Ланке и на Тайване.

Эмулятор платформы Android разработки гонконгской компании BigNox зачастую используется для запуска онлайн-игр на компьютерах под управлением Windows и macOS. По оценке BigNox, ее продукт NoxPlayer установили свыше 150 млн пользователей, проживающих в 150 странах.

Атаку на инфраструктуру BigNox обнаружили исследователи из ESET — в ИБ-компании ей присвоили кодовое название «Операция NightScout». По данным специалистов, взлом сети создателя NoxPlayer произошел как минимум в сентябре прошлого года; злонамеренный характер этого вторжения стал очевидным 25 января. Исследователи полагают, что конечной целью авторов атаки является сбор информации об определенных геймерах, использующих продукт BigNox.

Расследование показало, что злоумышленникам удалось взломать файловый сервер BigNox (res06.bignox.com) и загрузить на него зловреда. Скорее всего, они также скомпрометировали API, через который NoxPlayer получает информацию о наличии обновлений.

В отличие от легитимных апдейтов вредоносные файлы не имеют цифровой подписи. По всей видимости, систему сборки кода атака на BigNox не затронула.

Исследователям удалось выявить три варианта полезной нагрузки, раздаваемой под видом обновлений NoxPlayer. Одна из них — недокументированный бэкдор, способный по команде удалять, сливать на сторону или загружать файлы.

Вторая состояла из нескольких файлов и маскировалась под Windows-утилиту Sandboxie, позволяющую запускать приложения в песочнице. На поверку зловред оказался загрузчиком Gh0st RAT — трояна, обычно используемого в APT-атаках с целью шпионажа.

Оба эти вредоноса раздавались с взломанного сервера BigNox в сентябре. Позднее злоумышленники подняли собственный сервер фальшивых апдейтов, который начал отдавать загрузчика другого хорошо известного шпиона — PoisonIvy. Этот RAT-троян тоже некогда пользовался большой популярностью у APT-групп.

Полученные результаты ESET попыталась передать в BigNox, но создатель NoxPlayer заявил, что вторжение не имело для него никаких последствий. От помощи в расследовании он тоже отказался.

Пользователям затронутого продукта эксперты советуют переустановить его с чистого носителя. Загружать обновления с серверов BigNox пока не рекомендуется, а лучше вовсе деинсталлировать NoxPlayer.

Мошенники пугают россиян блокировкой СБП и требуют коды из СМС

Телефонные мошенники снова нашли тему, которая звучит достаточно сложно, чтобы человек растерялся. Теперь россиян запугивают якобы подозрительной активностью в цепочке переводов и грозят блокировкой доступа к Системе быстрых платежей.

О новой схеме РИА Новости рассказали в пресс-службе платформы «Мошеловка» Народного фронта.

Потенциальной жертве звонят или пишут лжесотрудники банка, контролирующего органа или другой важной структуры. Дальше начинается спектакль про подозрительные переводы, технический сбой или проблемы с идентификацией. Жертве сообщают, что из-за этого доступ к СБП могут заблокировать.

Чтобы срочно всё исправить, мошенники предлагают пройти верификацию через специальный сервис. На деле под этим предлогом они пытаются выманить код из СМС, заставить установить вредоносное приложение под видом официального инструмента или убедить перевести деньги на безопасный счёт.

В «Мошеловке» отмечают, что схема особенно актуальна в июле: злоумышленники используют тему интеграции налоговых идентификаторов в банковские системы и рассчитывают на то, что большинство клиентов не знает технических деталей работы СБП.

Главное правило здесь простое: никаких дополнительных подтверждений для работы Системы быстрых платежей пользователю проходить не нужно. Обмен данными между ведомствами и банками происходит автоматически, без звонков с просьбами назвать код или установить приложение.

Если собеседник говорит о блокировке переводов, просит код из СМС, требует поставить программу или перевести деньги на резервный счёт, разговор лучше сразу закончить. А потом самостоятельно позвонить в банк по номеру с официального сайта или из приложения.

RSS: Новости на портале Anti-Malware.ru