PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Grup peretas misterius dikabarkan berhasil menyusup infrastruktur server dari emulator Android populer NoxPlayer dan telah mengirimkan malware ke banyak korban di seluruh Asia dalam serangan supply chain yang sangat tertarget.

Serangan itu ditemukan oleh perusahaan keamanan ESET pada 25 Januari 2021, dan menargetkan BigNox, sebuah perusahaan yang membuat NoxPlayer.

ESET mengatakan bahwa berdasarkan bukti yang dikumpulkan para peneliti, seorang pelaku ancaman menyusup ke salah satu API resmi perusahaan (api.bignox.com) dan server hosting file (res06.bignox.com).

Dengan menggunakan akses ini, peretas memodifikasi URL unduhan pembaruan NoxPlayer di server API untuk mengirimkan malware ke pengguna NoxPlayer.

Tiga keluarga malware yang berbeda terlihat sedang didistribusikan dari pembaruan berbahaya yang disesuaikan untuk korban yang dipilih, tanpa tanda-tanda memanfaatkan keuntungan finansial apa pun, melainkan kemampuan untuk memata-matai,” kata ESET dalam sebuah laporan yang diterbitkan.

Meskipun ada bukti yang menyiratkan bahwa penyerang memiliki akses ke server BigNox setidaknya sejak September 2020, ESET mengatakan pelaku ancaman tidak menargetkan semua pengguna perusahaan tetapi berfokus pada mesin tertentu, menunjukkan ini adalah serangan yang sangat tertarget yang ingin menginfeksi pengguna tertentu.


ESET telah merilis laporan dengan detail teknis terkait NoxPlayer untuk menentukan apakah pengguna menerima pembaruan yang mengandung malware dan cara menghapus malware.

Saat artikel ini diterbitkan, juru bicara BigNox memberi tahu bahwa mereka sekarang telah terlibat dengan ESET untuk menyelidiki pelanggaran keamanan ini lebih lanjut.

Baca Juga: “Ada Malware Android Baru Yang Sedang Dipasarkan Dalam Forum Underground

Perusahaan yang berbasis di Hong Kong itu juga mengatakan telah mengerahkan beberapa tindakan pencegahan dan pembaruan keamanan sejak mengetahui peretasan tersebut, seperti:

  • menggunakan HTTPS untuk mengirimkan pembaruan perangkat lunak guna meminimalkan risiko pembajakan domain dan serangan Man-in-the-Middle (MitM)
  • menerapkan verifikasi integritas file menggunakan hashing MD5 dan pemeriksaan tanda tangan file
  • mengadopsi langkah-langkah tambahan, terutama enkripsi data sensitif, untuk menghindari pengungkapan informasi pribadi pengguna

Mengenai siapa di balik serangan itu, ESET masih tidak mengetahuinya, tapi tahu siapa yang tidak terlibat.

Kami mengabaikan kemungkinan bahwa operasi ini adalah produk dari beberapa kelompok yang termotivasi untuk tujuan finansial,” kata juru bicara ESET. “Kami masih menyelidiki, tetapi kami telah menemukan korelasi nyata dengan grup yang secara internal kami sebut Stellera, yang akan kami laporkan dalam waktu dekat.”

Sumber:

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.