Cảnh báo: Người dùng giả lập NoxPlayer có nguy cơ bị hack

VietTimes – Mới đây, các nhà nghiên cứu bảo mật công bố phát hiện một cuộc tấn công phát tán phần mềm độc hại qua các phiên bản cập nhật của phần mềm giả lập nổi tiếng NoxPlayer, đe dọa đến hàng triệu người dùng.
Người dùng giả lập NoxPlayer để chơi game có nguy cơ bị tấn công bằng phần mềm độc hại.

Theo cảnh báo từ fanpage chính thức của Trung tâm Giám sát an toàn không gian mạng quốc gia, hàng triệu người dùng phần mềm giả lập Android trên máy tính có thể trở thành mục tiêu tấn công qua NoxPlayer. Qua thống kê sơ bộ, có khoảng hơn 150 triệu người sử dụng NoxPlayer tại hơn 150 quốc gia trên thế giới. Phần lớn người dùng NoxPlayer thuộc các nước châu Á.

NoxPlayer - phần mềm được phát triển bởi công ty BigNox - là trình giả lập Android miễn phí, khả dụng trên cả hai hệ điều hành Windows và MacOS. Ứng dụng cho phép người dùng chơi trò chơi di động trên máy tính với nhiều phiên bản khác nhau.

Các nhà nghiên cứu cho biết cuộc tấn công này đã bắt đầu diễn ra từ khoảng tháng 9/2020. Theo thống kê, trong số hơn 100.000 người dùng sử dụng NoxPlayer, có khoảng 5 người bị nhiễm phần mềm độc hại từ các bản cập nhật. Điều này đặt ra nghi vấn đây là cuộc tấn công có mục tiêu chọn lọc. Mục tiêu được nhắm đến hiện tại là người dùng tại các quốc gia như Đài Loan, Hồng Kông, Sri Lanka, theo các chuyên gia.

Các nhà nghiên cứu cho rằng, hình thức tấn công chủ yếu bắt nguồn từ cơ chế cập nhật của NoxPlayer. Họ cho biết họ có "đủ bằng chứng" để cho thấy cơ sở hạ tầng BigNox (res06.bignox.com) đã bị xâm nhập để lưu trữ phần mềm độc hại. Các nhà nghiên cứu cũng khẳng định, cơ sở hạ tầng API HTTP của BigNox (api.bignox.com) cũng có thể bị xâm phạm. Khi trở thành mục tiêu tấn công, các bản cập nhật hợp pháp của BigNox sẽ bị thay thế bằng một URL giả mạo có chứa phần mềm độc hại. Sau khi tải xuống thành công, tệp độc hại sẽ được cài trên máy người dùng.

Nhà nghiên cứu Ignacio Sanmillan của ESET (công ty an ninh mạng của Slovakia) cho biết: “Phần mềm độc hại có khả năng giám sát, chúng tôi tin rằng điều này có thể cho thấy mục đích thu thập thông tin tình báo về các mục tiêu liên quan đến cộng đồng game”.

Cụ thể, có 3 biến thể phần mềm độc hại khác nhau đã được phát hiện trong cuộc tấn công này. Ngoài Ghost RAT để theo dõi mục tiêu, tính năng keylogger thu thập thông tin nhạy cảm, các nhà nghiên cứu đã tìm thấy phần mềm bổ sung như Poisonlvy RAT được tải xuống qua cập nhật BigNox từ các máy chủ từ xa, do đối tượng tấn công kiểm soát. Được phát hành lần đầu vào năm 2005, PoisonIvy RAT đã được sử dụng trong một số chiến dịch phần mềm độc hại cấp cao, đáng chú ý nhất là trong vụ xâm phạm dữ liệu RSA SecurID năm 2011.

Để đảm bảo an toàn và tránh nguy cơ bị tấn công, các chuyên gia khuyến cáo người dùng không nên tải xuống các bản cập nhật của NoxPlayer trong thời gian này. Với những trường hợp đã cập nhật, người dùng nên gỡ cài đặt phần mềm, kiểm tra rà soát thiết bị đang sử dụng bằng các phần mềm chống virus. Đối với những cơ quan, tổ chức có nhiều người sử dụng phần mềm này, có thể sử dụng thông tin IoC để giám sát và phát hiện các trường hợp đã bị tấn công.

CẬP NHẬT

Liên quan đến sự việc này, đại diện tập đoàn Nox Limited - đơn vị phát triển NoxPlayer đã có email gửi VietTimes, nội dung như sau:

"Tập đoàn Nox Limited đang tích cực liên hệ với nhà nghiên cứu của ESET và làm rõ về tính thực hư và tính khách quan của những luận điểm do ESET đưa ra. Chúng tôi cam kết sẽ tích cực tuân thủ và phối hợp cùng ESET để xác minh trên tất cả mọi phương diện liên quan đến quan điểm mà ESET đưa ra. Chúng tôi sẽ tìm ra phương án giải quyết trong thời gian sớm nhất, và phối hợp để khắc phục vấn đề ( nếu có). Với mục tiêu duy nhất là chung tay đem tới một sản phẩm an toàn, chất lượng tới người dùng toàn cầu".

Đại diện Nox Limited khẳng định "Những luận điểm do ESET đưa ra đang trong quá trình làm rõ và xác minh".

VietTimes sẽ tiếp tục cập nhật sự việc khi có thông tin mới từ Nox Limited và ESET.