Vào ngày 01/02/2021, các nhà nghiên cứu bảo mật đã công bố phát hiện một cuộc tấn công chuỗi cung ứng phát tán phần mềm độc hại qua các phiên bản cập nhật của NoxPlayer.

NoxPlayer (được phát triển bởi BigNox) là 1 trình giả lập Android miễn phí trên hệ điều hành Windows và MacOS, cho phép người dùng chơi trò chơi di động trên thiết bị máy tính, hỗ trợ gamepad và với nhiều phiên bản. Phần mềm này thường được đội ngũ phát triển phần mềm sử dụng nhiều. Qua thống kê sơ bộ, có khoảng hơn 150 triệu người sử dụng NoxPlayer tại hơn 150 quốc gia khác nhau.

Các phát hiện cho thấy cuộc tấn công này diễn ra bắt đầu từ khoảng tháng 9 năm 2020. Các nhà nghiên cứu cho biết trong số hơn 100.000 người dùng sử dụng NoxPlayer chỉ có khoảng 5 người dùng bị nhiễm phần mềm độc hại từ các bản cập nhật độc hại, cho thấy đây là cuộc tấn công có mục tiêu và có chọn lọc. Mục tiêu được nhằm đến hiện tại là người dùng tại các quốc gia như Đài Loan, Hồng Kông, Sri Lanka.

Trong cuộc tấn công, các bản cập nhật hợp pháp của BigNox được thay thế trỏ đến một URL giả mạo có chứa phần mềm độc hại. Sau khi tải xuống thành công, tệp độc hại sẽ được cài trên máy mục tiêu thông qua quy trình cập nhật.

03 biến thể phần mềm độc hại khác nhau được phát hiện trong cuộc tấn công này, như Ghost RAT để theo dõi mục tiêu, có tính năng keylogger và thu thập thông tin nhạy cảm. Ngoài ra, các nhà nghiên cứu đã tìm thấy phần mềm bổ sung như Poisonlvy RAT được tải xuống bởi trình cập nhật BigNox từ các máy chủ từ xa do đối tượng tấn công kiểm soát.

Để đảm bảo an toàn và tránh nguy cơ bị tấn công, người dùng không nên tải xuống các bản cập nhật trong thời gian này. Với những trường hợp đã cập nhật, người dùng nên gỡ cài đặt phần mềm, kiểm tra rà soát thiết bị đang sử dụng với các phần mềm chống virus,…Đối với những cơ quan tổ chức có nhiều người sử dụng phần mềm này, có thể sử dụng thông tin IoC để giám sát và phát hiện các trường hợp đã bị tấn công. 

Đối với đơn vị đã kết nối với hệ thống cung cấp IoC của Trung tâm NCSC sẽ được cập nhật tự động.