Антивирусная компания ESET сообщила о раскрытии её экспертами новой атаки на цепочку поставок, объектом которой стал механизм обновления популярного приложения для геймеров NoxPlayer. Киберспециалисты обнаружили сразу три вида вредоносных программ, направленных на шпионаж за пользователями эмулятора.
Напомним, что NoxPlayer разработан компанией BigNox из Гонконга и предназначен для запуска Android-приложений на компьютерах под управлением операционных систем Windows и Mac. Число пользователей эмулятора по всему миру превышает 150 млн человек.
Изучив характер и последствия взлома, эксперты пришли к выводу, что атака на цепочку поставок не была нацелена на получение немедленной финансовой выгоды. Доставленное пользователям вредоносное ПО является шпионским и предназначено для сбора данных об участниках игрового сообщества. Заражение осуществляется через механизм обновления эмулятора. Вредоносное ПО загружается, когда пользователь соглашается установить новую версию NoxPlayer.
В ESET детектировали три различных варианта вредоносных обновлений. Два из них загружались из легитимной инфраструктуры BigNox, в том числе Gh0st RAT с возможностями кейлоггера. Третий вариант — инструмент удаленного доступа PoisonIvy RAT — загружался из инфраструктуры, контролируемой злоумышленниками.
Скомпрометированным пользователям NoxPlayer специалисты по информационной безопасности рекомендуют удалить программу-эмулятор или выполнить стандартную переустановку с чистого носителя. Тем, кто давно не обновлялся, следует дождаться официального уведомления BigNox об устранении угрозы.