Les pirates n’ont visé que quelques victimes. En effet, cinq victimes seulement ont été détectées jusqu’à présent, à Taiwan, à Hong Kong et au Sri Lanka. Un groupe de pirates assez mystérieux a compromis l’infrastructure de serveur d’un émulateur Android connu et a livré des logiciels malveillants à quelques victimes à travers l’Asie dans le cadre d’une attaque de la chaine d’approvisionnement très ciblée.

C’est la société de sécurité slovaque, ESET – une entreprise qui fabrique NoxPlayer, un client logiciel pour émuler des applications Android sur des ordinateurs de bureau Windows ou macOS – qui a découvert cette attaque. D’après ESET, et en se basant sur des preuves regroupées par ses chercheurs, un pirate aurait compromis l’un des serveurs officiels d’API (api.bignox.com) et d’hébergement de fichiers (res06.bignox.com) de la société. Avec l’utilisation de cet accès, les acteurs malveillants ont réussi à falsifier l’URL de téléchargement des mises à jour de NoxPlayer dans le serveur d’API afin de fournir des logiciels malveillants aux utilisateurs de NoxPlayer.

ESET a déclaré dans un rapport : «Trois familles de logiciels malveillants différentes ont été repérées en cours de distribution à partir de mises à jour malveillantes personnalisées à des victimes sélectionnées, sans aucun signe de gain financier, mais plutôt de capacités liées à la surveillance». Bien que les preuves permettent de suggérer que les pirates pouvaient accéder aux serveurs BigNox depuis au moins Septembre 2020, ESET a ajouté que le pirate ne ciblait pas tous les utilisateurs de l’entreprise mais se basait plutôt sur des machines spécifiques, suggérant qu’il s’agissait d’une attaque très ciblée cherchant à infecter seulement quelques utilisateurs.

Un rapport a été publié par ESET contenant plusieurs détails techniques dédiés aux NoxPlayers pour déterminer s’ils ont reçu la mise à jour contenant des logiciels malveillants et quelle est la procédure de sa suppression.