[하루한줄] NoxPlayer Spyware
URL
A new Software Supply-Chain Attack Targeted Millions With Spyware
Target
NoxPlayer
Explain
ESET에서 안드로이드 에뮬레이터 NoxPlayer의 사용자를 타겟으로 한 악성 코드가 배포되고 있다고 발표했습니다. 해커는 NoxPlayer의 개발사 BigNox의 파일 호스팅 서버를 해킹해 업데이트 다운로드 URL을 조작하는 것으로 세 종류의 악성 코드를 배포했습니다. 해당 악성 코드는 금전적 이익 보단 특정 사용자를 대상으로 한 감시 목적 기능에 초점이 맞춰져 있다고 합니다.
NoxPlayer 사용자에게 악성 코드가 배포되는 과정은 다음과 같습니다.
- NoxPlayer 시작과 동시에 서버로 업데이트 요청
- 서버에서 BigNox CDN network를 통한 업데이트 다운로드 URL을 제공
- 해당 업데이트 진행
- 업데이트가 악성 코드를 디바이스에 제공
배포된 악성 코드는 다음과 같습니다.
- Gh0st RAT ( Remote Administration Tool )
- PoisonIvy RAT
Reference
https://en.wikipedia.org/wiki/Gh0st_RAT
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.