Android NoxPlayer Hacklendi! ESET uzmanları tedarik zincirinde, bilinmeyen bir hack grubunun popüler Android öykünücüsü NoxPlayer’ın geliştiricilerini tehlikeye attığı ve kötü amaçlı yazılımları koduna işlediği bir saldırı keşfetti.
NoxPlayer ücretsizdir ve Windows veya macOS çalıştıran bilgisayarlarda Android uygulamalarını taklit etmek için tasarlanmıştır. Emülatör, Hong Kong şirketi BigNox tarafından geliştirilmiştir ve 150 ülkede 150.000.000’den fazla kullanıcı tarafından kullanılmaktadır.
Araştırmacılar, 25 Ocak 2021’de BigNox’a yönelik bir saldırı keşfettiklerini yazıyor. Onlara göre, saldırganlar şirketin resmi API’lerinden birinin (api.bignox.com) ve dosya barındırma sunucularının (res06.bignox.com) güvenliğini ihlal etti. Elde edilen erişimi kullanarak, bilgisayar korsanları güncellemeleri indirmek için URL adresiyle “çalıştı” ve sonuç olarak NoxPlayer kullanıcıları arasında kötü amaçlı yazılım dağıttı.
“Kötü amaçlı güncellemeler aracılığıyla, seçilen kurbanlar arasında üç kötü amaçlı yazılım ailesinin dağıtıldığı fark edildi. ESET raporu, bilgisayar korsanlarının mali kazanç peşinde koştuğuna dair herhangi bir belirti içermiyor, bunun yerine gözetleme amaçlıdır ”diyor.
Android NoxPlayer Hacklendi!
Aşağıdaki tehditler NoxPlayer aracılığıyla dağıtıldı. Kurbanların izlenmesine izin veren önceden bilinmeyen bir kötü amaçlı yazılım, aynı zamanda komut ve kontrol sunucusundan alınan komutları çalıştırabilir, dosyaları silebilir, komutları çalıştırabilir, dosyaları indirebilir ve karşıya yükleyebilir. Diğer iki kötü amaçlı yazılım zaten uzmanlar tarafından biliniyordu: Bunlar, Gh0st RAT (keylogger yetenekleriyle) ve PoisonIvy RAT’ın varyasyonlarıydı.
İlgili Haber: VLC Media Player da birkaç RCE açığı düzeltildi
Analistler, saldırganların en az Eylül 2020’den beri BigNox’un sunucularına eriştiğine inanırken, bilgisayar korsanları şirketin tüm büyük kullanıcı tabanını hedeflemedi, bunun yerine çabalarını belirli makinelere odakladı. Buna dayanarak, uzmanlar, belirli bir kullanıcı sınıfına bulaşmayı amaçlayan oldukça hedefli bir saldırı keşfettikleri sonucuna varıyorlar. Şu ana kadar, NoxPlayer’ın Tayvan, Hong Kong ve Sri Lanka’da bulunan virüslü sürümünden etkilenen yalnızca beş kişi tespit edildi.
“Bu olayı hala araştırıyoruz, ancak Stellera adını verdiğimiz bir hacker grubuyla göze çarpan bir ilişki keşfettik. Araştırmacılar yakın gelecekte size bu grubu ayrıntılı olarak anlatacağız ”dedi.
ESET uzmanlarının belirttiği ilişki ve benzerlikler, NoxPlayer güncellemesi aracılığıyla dağıtılan üç kötü amaçlı yazılımın tamamının, Myanmar başkanlık yönetimi (2018) ve Hong Üniversitesi web sitesinin hacklenmesi sırasında kullanılan başka bir kötü amaçlı yazılımla çok benzer olmasından kaynaklanmaktadır. Kong (2020).
