NoxPlayer compromesso: l'emulatore Android sfruttato per attacchi mirati in Asia

BigNox, la società che realizza il popolare emulatore Android NoxPlayer, è stata presa di mira la scorsa settimana da un gruppo di hacker che ha potuto compromettere l'infrastruttura dei server dell'emulatore riuscendo a distribuire malware ad una serie di bersagli mirati e situati in Asia.

L'incidente è stato scoperto dalla società di sicurezza ESET lo scorso 25 gennaio, che ne ha divulgato i dettagli nel corso della giornata di ieri. NoxPlayer è un emulatore che permette di eseguire app Android in ambiente desktop Windows o macOS e che conta oltre 150 milioni di utenti in tutto il mondo, ma vede una prevalenza in Asia e per lo più utenti che sfruttano l'emulatore per poter giocare sui propri PC a titoli mobile.

Secondo le informazioni divulgate da ESET l'attacco - che rientra nella categoria dei cosiddetti "Supply-chain attack" - ha portato alla compromissione di una delle API ufficiali (nello specifico api.bignox.com) e dei server di hosting dei file (res06.bignox.com). Queste azioni hanno consentito agli hacker di cambiare gli URL per il download degli aggiornamenti di NoxPlayer così da poter distribuire malware agli utenti dell'emulatore.

L'analisi di ESET ha evidenziato come sfruttando questo sistema siano state distribuite tre diverse famiglie di malware che sembrano avere lo scopo di monitorare e esfiltrare informazioni. La società di sicurezza infatti sottolinea di non aver rilevato azioni e tentativi volti ad un guadagno facile. Le tecniche e gli strumenti impiegati suggerirebbero inoltre la volontà di passare inosservati allo scopo di sviluppare una persistenza a lungo termine.

L'operazione di compromissione è stata condotta a seguito di un accesso ai server BigNox avvenuto almeno a settembre 2020, ma come già detto la mano dietro a questa operazione ha scelto di non prendere di mira indistintamente tutti gli utenti ma di focalizzarsi su un ristretto numero ben preciso: fino ad ora gli aggiornamenti dannosi sarebbero stati recapitati solamente a cinque vittime situate a Taiwan, Hong Kong e Sri Lanka, tra gli oltre 100 mila utenti NoxPlayer che utilizzano anche una suite di sicurezza ESET.

ESET sottolinea come nonostante gli attacchi di tipo Supply-chain siano una tecnica comunemente utilizzata dai criminali informatici, è piuttosto inusuale vederla impiegata per un'azione estremamente mirata e, almeno apparentemente, indirizzata a giocatori online.

ESET suggerisce in ogni caso di non scaricare alcun aggiornamento di NoxPlayer fino a quando BigNox non avrà comunicato di aver risolto il problema. La società però, almeno fino ad ora, non ha ancora preso una posizione ufficiale sull'argomento: sul sito non compare alcuna comunicazione o avvertimento, e nemmeno sui canali social.