La compañía de ciberseguridad ESET ha alertado sobre un ataque que ha descubierto y que compromete el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac. Según ha advertido en un comunicado, durante la investigación se han encontrado tres familias de malware distintas, "distribuidas mediante actualizaciones maliciosas a grupos de víctimas seleccionadas y sin un motivo aparente de ganancia financiera, solamente con el objetivo de espiar a los usuarios afectados".
ESET ha llamado a esta operación NightScout y ha indicado que BigNox es una compañía de Hong Kong que ofrece varios productos, entre los que destaca el emulador de Android para PC y Mac NoxPlayer. De acuerdo a sus propias fuentes, cuenta con 150 millones de usuarios en todo el mundo, aunque la mayoría de ellos residen en Asia.
"De acuerdo con la telemetría de ESET, los primeros indicadores de compromiso aparecieron en septiembre de 2020. La actividad continuó hasta que descubrimos unas actividades maliciosas la semana pasada, momento en el que informamos a BigNox", señala Ignacio Sanmillán, investigador de ESET que reveló la operación NightScout.
La firma de ciberseguridad también subraya que la operación NightScout tiene objetivos muy específicos y que sus investigadores solo han sido capaces de identificar a unas pocas víctimas en Taiwán, Hong Kong y Sri Lanka. "Basándonos en el software comprometido y en cómo el malware tiene capacidades de vigilancia, creemos que la intención de este grupo de inteligencia se dirige a la comunidad de jugadores", prosigue Sanmillán.
Ha detectado tres tipos diferentes de actualizaciones maliciosas
Asimismo, ESET ha resaltado que en este ataque contra la cadena de suministro, el mecanismo de actualización de NoxPlayer servía como vector de compromiso. Al iniciar el emulador, si se detectaba una versión más moderna del software, aparecía un mensaje ofreciendo la actualización en la que se incluía el malware.
"Tenemos pruebas suficientes como para afirmar que la infraestructura de BigNox ha sido comprometida para albergar el malware, pero pensamos que su infraestructura API ha podido ser también comprometida. En algunos casos, se descargaron payloads adicionales desde servidores controlados por los atacantes", agrega Sanmillán.
En total, los investigadores de ESET han encontrado tres variantes distintas de actualizaciones maliciosas. Según explica la compañía, "la primera no parece haber sido documentada hasta ahora y tiene capacidades suficientes para vigilar a las víctimas. La segunda, de forma similar a la primera, se observó en descargas desde infraestructuras legítimas de BigNox. El payload desplegado es una instancia de Gh0st RAT con capacidades de registro de pulsaciones del teclado. La tercera variante, PoisonIvy RAT, es una herramienta de acceso remoto muy popular entre los cibercriminales y que solo se habría encontrado tras las actualizaciones maliciosas iniciales y descargadas desde la infraestructura controlada por el atacante".
ESET ha encontrado similitudes entre diferentes loaders analizados anteriormente por su laboratorio y algunos de los utilizados en la operación NightScout, especialmente relacionados con un ataque a la web de la oficina del presidente de Myanmar, descubierto en 2018, y a una intrusión en una universidad de Hong Kong analizada en 2020.
"Para mantenerse protegido, en caso de intrusión, lo principal es realizar una reinstalación desde un medio limpio. Para los usuarios no infectados, nuestra recomendación es que no se descarguen actualizaciones hasta que BigNox notifique que han resuelto la amenaza, aunque lo mejor sería desinstalar el programa", concluye Sanmillán.