Gli esperti di sicurezza informatica segnalano un nuovo metodo di attacco alla catena di spionaggio in cui gli autori sono riusciti a compromettere il processo di aggiornamento di NoxPlayer, un popolare emulatore Android per sistemi Windows e Mac sviluppato da BigNox. Secondo i suoi stessi numeri, NoxPlayer ha più di 150mila utenti in cento paesi. Questo strumento viene utilizzato principalmente dagli utenti di videogiochi per dispositivi mobili desiderosi di portare questi sviluppi sugli schermi dei loro PC.
Il rapporto, preparato dalla società di sicurezza IT ESET, menziona che gli hacker malintenzionati sono riusciti a iniettare il malware in un piccolo numero di utenti, principalmente nel territorio asiatico. Gli esperti hanno rilevato almeno cinque utenti infetti in Siria, Taiwan, Hong Kong e Sri Lanka.
I ricercatori hanno soprannominato questa campagna “Operazione NightScout”. I ricercatori riferiscono di aver rilevato questo meccanismo di attacco, che impiega almeno tre diverse varianti di malware distribuito attraverso installazioni dannose e mirato a vittime precedentemente selezionate. Poiché non sembra esserci alcun vantaggio finanziario per gli hacker, gli esperti ritengono che potrebbe essere una campagna di spionaggio.
Secondo quanto riferito, gli aggressori hanno compromesso una delle API ufficiali dell’azienda (api.bignox.com) e dei server di file hosting (res06.bignox.com). Quando gli aggressori hanno generato la persistenza, gli hacker hanno manipolato l’URL di download dell’aggiornamento di NoxPlayer sul server API per fornire gli aggiornamenti infetti.
ESET ha incluso anche alcuni dettagli tecnici sull’attacco in modo che gli utenti generici dell’emulatore possano identificare se la loro installazione è stata compromessa e possono persino rimuovere l’installazione dannosa con i propri metodi. Sebbene ESET non attribuisca questa campagna a uno specifico gruppo di hacker, il rapporto menziona alcune somiglianze tra le varianti di malware rilevate e alcuni campioni raccolti dalle autorità del Myanmar dopo un attacco informatico che ha compromesso i loro siti web governativi.
Questo è stato un periodo particolarmente prolifico per gli attacchi di questo genere. Tuttavia, gli esperti affermano che il metodo di attacco utilizzato nell’operazione NightScout è particolarmente sorprendente perché si tratta di un vettore insolito per l’implementazione di operazioni di spionaggio informatico contro gli utenti delle piattaforme digitali. Android non ha rilasciato alcuna dichiarazione su questo incidente.
