被植入木馬 香港、台灣用家要小心了 !!
電腦安全軟件公司 ESET 2 日公開表示, Android 模擬器 Nox Player (夜神模擬器) 因 Live Update 漏洞遭黑客入侵,當用家更新時植入惡意程式,主要受惡者為香港、台灣用戶,如果你是 NoxPlayer 模擬器用家,必需要留意是否中招。
據了解,Nox Player (夜神模擬器) 母公司 BigNox 總部位於香港,能讓 Windows 及 MasOS 作業系統用家在 PC 上執行 Android 遊戲,支援20種語言,號稱在全球150個國家擁有1.5億名用戶,並且在亞洲地區非常流行。
據 ESET 官方公件指出,黑客是在 2020 年 9 月滲透 NoxPlayer Live Update 更新機制,不過暫時只有極少數的 NoxPlayer 使用者被確定受影響,在約 10 萬名 ESET + NoxPlayer 用戶中,發現 5 名使用者受到木馬感染,而這 5 名受害者分別位於香港、台灣及斯里蘭卡,ESET 發現植入的惡意木馬並不是用作非法獲利,而是專注於監控行為。
ESET 研究人員發現,BigNox 的(res06.bignox.com)竟被用作代管惡意程式,懷疑其 HTTP API 存在漏洞,如果更新時被派至 res06.bignox.com,更新機制會讓使用者直接自駭客所掌控的伺服器下載惡意程式,因此判定是 BigNox API 的 URL 欄位可能被黑客竄改了。
由於案例太少,有認為受害者是遭到中間人攻擊,ESET 表示這個假設不太可能,因為受害者分布在不同國家,而且 BigNox 基礎設施的確已被黑客入侵,研究人員更成功在 BigNox 下載惡意程式樣本。
ESET 表示在 1 月 25 日已就此發現通報 BigNox,BigNox 否認該公司架槽遭到黑客入侵,官網亦未有任何公告聲明。
ESET 原文︰
後續更新︰
SET 3 日公佈了「Android 模擬器 Nox Player (夜神模擬器) 因 Live Update 漏洞遭黑客入侵」後續跟進,據了解 Nox Player (夜神模擬器) 母公司 BigNox 已針對可能會發生的安全隱患進行修,包括不再使用 HTTP 協定、加入 MD5 檔案驗証及對敏感資料進行加密,以避免免暴露用戶的個人訊息。
據 ESET 表示,Big Nox 已和他們聯繫並作出了解釋,在得悉事件後已採取以下步驟來提高用戶的安全性,包括︰
♦ 僅使用HTTPS交付軟件更新,以最小化域劫持和中間人(MitM)攻擊的風險
♦ 使用MD5哈希和文件簽名檢查實現文件完整性驗證
♦ 採取其他措施,特別是對敏感數據進行加密,以避免暴露用戶的個人訊息
BigNox 同時亦更新了 NoxPlayer 版本,新版本將會檢查以前安裝的 Nox Player 應用程序文件是否完整及存在風險。不過,ESET 也在這段更新聲明中結尾強調, ESET 無法擔保 BigNox 提供資訊的正確性。
