Sicherheitsforscher von ESET sind einem neuen Angriff auf eine Lieferkette (Suppy Chain) auf die Spur gekommen. Der kostenlose Android-Emulator (NoxPlayer) ist mit Spyware infiziert. Die Angreifer zielen vor allem auf Online-Gamer in Asien.
Anzeige
Die Operation NightScout
Die Sicherheitsforscher von ESET haben das Ganze Operation NightScout getauft und beschreiben diese im Beitrag Operation NightScout: Supply‑chain attack targets online gaming in Asia. Entdeckt wurde das Ganze im Januar 2021, nachdem es Cyberkriminellen gelungen war, in einem neuen Supply-Chain-Angriff den Update-Mechanismus des NoxPlayer zu kompromittieren.
Erste Anzeichen für eine Kompromittierung lieferte die ESET-Telemetrie bereits im September 2020. Diese Aktivität setzte sich fort, bis wir die ESET-Sicherheitsforscher am 25. Januar 2021 explizit bösartige Aktivitäten entdeckten.
Android-Emulator NoxPlayer kompromittiert
Beim NoxPlayer handelt es sich um einen Android-Emulator für PCs und Macs, der zur Produktpalette des in Honkong ansässigen Anbieters BigNox ist. Der NoxPlayer hat über 150 Millionen Nutzern weltweit, wie ESET schreibt. Diese Software wird in der Regel von Gamern genutzt, um Android-Handyspiele auf dem PC zu spielen.
Die Sicherheitsforscher konnten gleich drei verschiedene Malware-Familien entdecken. Diese werden über maßgeschneiderte infizierte Updates der NoxPlayer-Software an ausgewählte Opfer verteilt. Dabei gibt es keine Anzeichen dafür, dass die Hacker mit den Angriffen finanzielle Gewinne erzielen möchten, es geht vor allem um Überwachungsfunktionen.
Die Sicherheitsforscher haben Ähnlichkeiten zwischen den von ihnen bereits in der Vergangenheit beobachteten Loadern und einigen der bei dieser Operation verwendeten entdeckt. Beispielsweise werden Instanzen, die 2018 bei einer Kompromittierenung der Lieferkette auf der Website des Präsidialamtes von Myanmar und Anfang 2020 bei einem Eindringen in eine Universität in Hongkong entdeckt wurden.
BixNox streitet alles ab
Die Sicherheitsforscher haben dann BigNox kontaktiert. Das Unternehmen hat jedoch bestritten, von einem Hack und einer Infektion der Supply Chain betroffen zu sein. Es wurde dem Unternehmen auch Unterstützung angeboten, über die Offenlegung hinaus zu helfen, falls man sich entscheidet, eine interne Untersuchung durchzuführen.
BigNox ist ein Unternehmen mit Sitz in Hongkong, das verschiedene Produkte anbietet. Dazu gehört auch der NoxPlayer Android-Emulator für PCs und Macs. Die Website des Unternehmens gibt dort an, dass es mehr als 150 Millionen Benutzer in mehr als 150 Ländern die SOftware verwenden. Der Schwerpunkt der BigNox-Nutzerschaft befinde sich allerdings vorwiegend in asiatischen Ländern.
Zeichen für eine Kompromittierung
Keine Ahnung, ob jemand von euch den NoxPlayer als Android-Emulator unter Windows oder mac OS verwendet. Um zu prüfen, ob man ein infizierten Update erhalten hat, lässt sich prüfen, ob ein ein laufender Prozess eine aktive Netzwerkverbindung mit bekannten aktiven C&C-Servern hat. Auf infizierten Systemen finden sich folgende Dateien:
- C:\ProgramData\Sandboxie\SbieIni.dat
- C:\ProgramData\Sandboxie\SbieDll.dll
- C:\ProgramData\LoGiTech\LBTServ.dll
- C:\Program Files\Internet Explorer\ieproxysocket64.dll
- C:\Program Files\Internet Explorer\ieproxysocket.dll
Und im Benutzerverzeichnis gibt es eine Datei:
Anzeige
%LOCALAPPDATA%\Nox\update\UpdatePackageSilence.exe
die nicht digital vom Entwickler BixNox signiert wurde. Weitere Details zum kompromittierten Update und zu den Zielen der Operation lassen sich im ESET-Artikel nachlesen.
2015
