Hackers atacaram desenvolvedora de emulador de Android para sabotar atualização e invadir usuários, diz empresa

Ataque contra o NoxPlayer foi direcionado a poucas vítimas, de acordo com a fabricante de antivírus Eset. Hackers atacaram software para gamers que desejam levar jogos mobile para o computador

Altieres Rohr/G1

A fabricante de antivírus Eset revelou que hackers obtiveram acesso a um sistema da BigNox, desenvolvedora do NoxPlayer, e modificaram atualizações baixadas pelo software para um número bastante restrito de usuários do programa.

Dados recolhidos pela empresa de segurança apontam que, em um universo de 100 mil usuários, apenas cinco receberam o código adulterado para fins maliciosos. Todos eles estavam localizados em algum país da Ásia: Taiwan, Hong Kong e Sri Lanka.

O NoxPlayer é um emulador de Android. O programa é usado principalmente por gamers interessados em jogador títulos desenvolvidos para Android no computador. Não se sabe por que os invasores teriam interesse em usuários desse tipo de software. Porém, segundo os especialistas, a quantidade limitada de vítimas é indício de uma ação "altamente direcionada".

Os especialistas deram ao ataque o nome de "Operation NightScout" (algo como "Operação Patrulheiro Noturno", em tradução livre).

De acordo com a Eset, a BigNox negou ter sido atacada por hackers quando foi comunicada a respeito do problema. Ao site "ZDNet", a empresa disse que entrou em contato com a Eset, mas ainda não há um comunicado oficial confirmando ou negando o ataque.

De certa maneira, o ataque contra a infraestrutura da BigNox foi limitado. Os invasores aparentemente obtiveram acesso apenas a um servidor responsável por direcionar o download das atualizações. As atualizações maliciosas não tinham uma assinatura digital válida – ao contrário das atualizações legítimas, que são assinadas digitalmente –, indicando que não houve acesso aos sistemas de desenvolvimento da BigNox.

De acordo com a Eset, as vítimas receberam três programas maliciosos diferentes que, de uma forma ou de outra, permitem que os invasores controlem o sistema remotamente e acessem dados armazenados no computador.

Os invasores usaram as ferramentas de controle remoto "gh0st RAT" e "PoisonIvy". Elas são públicas e, portanto, não são específicas de um ou outro grupo de ciberespiões. Com isso, pode ser mais difícil identificar os responsáveis e estabelecer elos com outras ações.

Controlando o sistema alvo, os hackers também podem lançar ataques contra outros sistemas na mesma rede, caso a vítima faça parte da rede de uma empresa, por exemplo.

Computadores na mesma rede ficam mais vulneráveis quando outros dispositivos já foram atacados?

O levantamento da Eset detectou ataques apenas contra usuários de Windows. Porém, o NoxPlayer também está disponível para macOS. Não se sabe se outros usuários – além dos cinco casos registrados – também podem ter recebido a atualização falsa.

Como identificar um ataque

Em ataques sofisticados, o comportamento dos invasores pode ser levemente modificado em cada computador, o que dificulta a identificação de um sistema comprometido.

Usuários podem conferir se o programa de atualização foi modificado e está sem uma assinatura da BigNox, mas o ideal é confiar no programa antivírus para fazer essa verificação. Considerando os outros alvos do vírus, também é pouco provável que haja vítimas no Brasil.

Uma verificação rápida pode ser feita da seguinte forma:

Acesse a pasta %LOCALAPPDATA%Noxupdate (basta colocar este caminho na barra de endereço do Explorador de Arquivos do Windows);

Verifique se o arquivo UpdatePackageSilence possui uma assinatura digital da BigNox (veja aqui como conferir uma assinatura digital).

Ataques contra desenvolvedores

Ataques que modificam arquivos ou códigos de programas legítimos vem acontecendo com maior regularidade. Uma invasão à empresa de tecnologia SolarWinds, no ano passado, permitiu que os ciberespiões chegassem a sistemas do governo norte-americano.

Esse, porém, não foi o primeiro caso. Em 2017, criminosos também alteram uma atualização de um software de contabilidade ucraniano para distribuir o programa destrutivo "NotPetya". No mesmo ano, invasores conseguiram acesso aos servidores do CCleaner. Em 2019, hackers adulteraram sistemas da Asus.

Em 2020, desenvolvedores de games na Coreia do Sul e em Taiwan foram vítimas de ataques parecidos. Os invasores conseguiram chegar ao sistema que prepara os arquivos distribuídos ao público, mas não foram encontrados indícios de que isso realmente ocorreu.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected]

Veja 5 dicas para sua segurança digital:

5 dicas de segurança para sua vida digital

Assista a mais vídeos para se manter seguro na internet: