ESET descubre una trama de ciberespionaje contra jugadores a través de un emulador de Andorid

ESET, una de las empresas líderes en ciberseguridad, ha descubierto una trama de ciberespionaje contra los jugadores que utiliza un emulador de Android para espiarlos.
·

ESET es una de las empresas de ciberseguridad más importantes de la Unión Europea que informa continuamente de amenazas de seguridad que afectan a los usuarios de España y del resto de la Unión.

Hoy esta compañía ha anunciado que ha descubierto una trama de ciberespionaje que está dirigida expresamente contra jugadores de videojuegos en línea, algo que creen que es particularmente interesante ya que rara vez encuentran operaciones de este tipo dirigidas particularmente a este público.

Según la investigación de ESET, los atacantes han utilizado el mecanismo de actualización de NoxPlayer (un conocido emulador para jugar a los juegos de Android en PC y Mac) para infectar los equipos de los jugadores que utilizan este emulador con tres familias de malware diferentes.

Petición de actualización de NoxPlayer

ESET ha bautizado esta operación de ataque de malware como NightScout e informa que los atacantes tienen objetivos muy concretos que no parecen estar relacionados con ganancias financieras y que solamente tienen el objetivo de espiar a los usuarios afectados que por el momento son unas pocas víctimas en Taiwán, Hong Kong y Sri Lanka (o al menos esto es lo que ha podido descubrir la compañía hasta ahora.

"De acuerdo con la telemetría de ESET, los primeros indicadores de compromiso aparecieron en septiembre de 2020. La actividad continuó hasta que descubrimos unas actividades maliciosas la semana pasada, momento en el que informamos a BigNox", afirma Ignacio Sanmillán, investigador de ESET que reveló la operación NightScout.

Mapa de afectados por el malware

"Basándonos en el software comprometido y en cómo el malware tiene capacidades de vigilancia, creemos que la intención de este grupo de inteligencia se dirige a la comunidad de jugadores", continúa Ignacio apuntando a que tienen "pruebas suficientes como para afirmar que la infraestructura de BigNox ha sido comprometida para albergar el malware, pero pensamos que su infraestructura API ha podido ser también comprometida. En algunos casos, se descargaron payloads adicionales desde servidores controlados por los atacantes".

Esquema del malware

Cómo descubrir si estás comprometido

Si eres usuario de NoxPlayer y quieres saber si estás afectado desde ESET nos instan a buscar los siguientes nombres en las rutas que os proporcionamos a continuación:

  • C:\ProgramData\Sandboxie\SbieIni.dat
  • C:\ProgramData\Sandboxie\SbieDll.dll
  • C:\ProgramData\LoGiTech\LBTServ.dll
  • C:\Program Files\Internet Explorer\ieproxysocket64.dll
  • C:\Program Files\Internet Explorer\ieproxysocket.dll
  • un archivo nombrado %LOCALAPPDATA%\Nox\update\UpdatePackageSilence.exe sin la firma digital por parte de BigNox.

Si estamos afectados en ESET nos recomiendan reinstalar el emulador desde un medio limpio y para los usuarios que no han sido comprometidos apuntan a que no descarguen "inguna actualización hasta que BigNox notifique que ha mitigado la amenaza".

"Para mantenerse protegido, en caso de intrusión, lo principal es realizar una reinstalación desde un medio limpio. Para los usuarios no infectados, nuestra recomendación es que no se descarguen actualizaciones hasta que BigNox notifique que han resuelto la amenaza, aunque lo mejor sería desinstalar el programa", concluye Sanmillán.

Si queréis más detalles sobre el ataque podéis visitar aquí el blog de ESET.

Saúl González

Imágenes:

Otras noticias sobre:

En forosComentar en nuestros foros

En forosComentar en nuestros foros

Flecha subir