防毒軟體業者 ESET 於 2/2 日公開發文表示, 知名 Android 模擬器 Nox Player(夜神模擬器)因 Live Update 漏洞被駭客入侵,會在使用者更新時植入惡意程式,主要受害目標為台灣及香港,如果你目前有使用 NoxPlayer 夜神模擬器,需留意是否有可疑行為。
ESET 指出 NoxPlayer 的惡意行為在去年九月開始
根據了解,Nox Player(夜神模擬器)母公司 BigNox 總部位在香港,該程式可以讓 Windows 及 MasOS 作業系統使用者在 PC 上執行 Android 遊戲,支援多達 20 種語言,號稱在全球 150 個國家中擁有 1.5 億名使用者,在亞洲地區相當流行。
ESET 分析報告指出,駭客是在 2020 年 9 月滲透了 NoxPlayer Live Update 更新機制,不過暫時只有極少數的 NoxPlayer 使用者被確定受影響,在約 10 萬名安裝 ESET 防毒軟體 + NoxPlayer 使用者中,發現 5 名使用者受到木馬感染,而這 5 名受害者分別位於台灣、香港及斯里蘭卡,ESET 發現植入的木馬並不是用來非法獲利,而是用於監控。
ESET 資安研究人員發現,BigNox 的 res06.bignox.com 主機被作為惡意程式代管使用,懷疑其 HTTP API 存在漏洞,如果更新程式時被分配到 res06.bignox.com,更新機制會讓使用者直接從駭客所控制的伺服器中下載惡意程式,因此認為 BigNox API 的 URL 欄位可能被駭客竄改。
由於案例不多,有些看法認為受害者是遭到中間人攻擊,ESET 表示這個假設不太可能,因為受害者分布在不同國家,但 BigNox 的基礎設施確實已經被入侵,研究人員更成功在 BigNox 伺服器上下載惡意程式樣本。
ESET 表示在 1/25 就發現並通報 BigNox,BigNox 否認該公司架構被入侵,官網也沒有任何公告。
SET 3 日公佈了「Android 模擬器 Nox Player ( 夜神模擬器 ) 因 Live Update 漏洞遭黑客入侵」後續跟進,據了解 Nox Player ( 夜神模擬器 ) 母公司 BigNox 已針對可能會發生的安全隱患進行修正,包括不再使用 HTTP 協定、加入 MD5 檔案驗証及對敏感資料進行加密,以避免免暴露用戶的個人訊息。
據 ESET 表示,Big Nox 已和他們聯絡並作出了解釋,在得悉事件後已採取以下步驟來提高用戶的安全性,包括︰
- 僅使用 HTTPS 交付軟件更新,以最小化域劫持和中間人(MitM)攻擊的風險
- 使用 MD5 哈希和文件簽名檢查實現文件完整性驗證
- 採取其他措施,特別是對敏感數據進行加密,以避免暴露用戶的個人訊息
BigNox 同時亦更新了 NoxPlayer 版本,新版本將會檢查以前安裝的 Nox Player 應用程序文件是否完整及存在風險。不過,ESET 也在這段更新聲明中結尾強調, ESET 無法擔保 BigNox 提供資訊的正確性。
圖片來源 1:pixabay.com
圖片來源 2:pixabay.com
