Hackers atacaram desenvolvedora de emulador de Android para sabotar atualização e invadir usuários, diz empresa

Foto: Altieres Rohr/G1| Nenhuma violação de direitos autorais pretendida.

Foto: Altieres Rohr/G1| Nenhuma violação de direitos autorais pretendida.

A fabricante de antivírus Eset revelou que hackers obtiveram acesso a um sistema da BigNox, desenvolvedora do NoxPlayer, e modificaram atualizações baixadas pelo software para um número bastante restrito de usuários do programa.

Dados recolhidos pela empresa de segurança apontam que, em um universo de 100 mil usuários, apenas cinco receberam o código adulterado para fins maliciosos. Todos eles estavam localizados em algum país da Ásia: Taiwan, Hong Kong e Sri Lanka.

O NoxPlayer é um emulador de Android. O programa é usado principalmente por gamers interessados em jogador títulos desenvolvidos para Android no computador. Não se sabe por que os invasores teriam interesse em usuários desse tipo de software. Porém, segundo os especialistas, a quantidade limitada de vítimas é indício de uma ação "altamente direcionada".

Os especialistas deram ao ataque o nome de "Operation NightScout" (algo como "Operação Patrulheiro Noturno", em tradução livre).

De acordo com a Eset, a BigNox negou ter sido atacada por hackers quando foi comunicada a respeito do problema. Ao site "ZDNet", a empresa disse que entrou em contato com a Eset, mas ainda não há um comunicado oficial confirmando ou negando o ataque.

De certa maneira, o ataque contra a infraestrutura da BigNox foi limitado. Os invasores aparentemente obtiveram acesso apenas a um servidor responsável por direcionar o download das atualizações. As atualizações maliciosas não tinham uma assinatura digital válida – ao contrário das atualizações legítimas, que são assinadas digitalmente –, indicando que não houve acesso aos sistemas de desenvolvimento da BigNox.

Os invasores usaram as ferramentas de controle remoto "gh0st RAT" e "PoisonIvy". Elas são públicas e, portanto, não são específicas de um ou outro grupo de ciberespiões. Com isso, pode ser mais difícil identificar os responsáveis e estabelecer elos com outras ações.

Controlando o sistema alvo, os hackers também podem lançar ataques contra outros sistemas na mesma rede, caso a vítima faça parte da rede de uma empresa, por exemplo.

O levantamento da Eset detectou ataques apenas contra usuários de Windows. Porém, o NoxPlayer também está disponível para macOS. Não se sabe se outros usuários – além dos cinco casos registrados – também podem ter recebido a atualização falsa.

Como identificar um ataque

Em ataques sofisticados, o comportamento dos invasores pode ser levemente modificado em cada computador, o que dificulta a identificação de um sistema comprometido.

Usuários podem conferir se o programa de atualização foi modificado e está sem uma assinatura da BigNox, mas o ideal é confiar no programa antivírus para fazer essa verificação. Considerando os outros alvos do vírus, também é pouco provável que haja vítimas no Brasil.

Uma verificação rápida pode ser feita da seguinte forma:

  • Acesse a pasta %LOCALAPPDATA%Noxupdate (basta colocar este caminho na barra de endereço do Explorador de Arquivos do Windows);
  • Verifique se o arquivo UpdatePackageSilence possui uma assinatura digital da BigNox (veja aqui como conferir uma assinatura digital).

Ataques contra desenvolvedores

Ataques que modificam arquivos ou códigos de programas legítimos vem acontecendo com maior regularidade. Uma invasão à empresa de tecnologia SolarWinds, no ano passado, permitiu que os ciberespiões chegassem a sistemas do governo norte-americano.

Em 2020, desenvolvedores de games na Coreia do Sul e em Taiwan foram vítimas de ataques parecidos. Os invasores conseguiram chegar ao sistema que prepara os arquivos distribuídos ao público, mas não foram encontrados indícios de que isso realmente ocorreu.