Palo Alto Networks 企業安全公司今天披露全球最大的智能手機製造商之一中國酷派集團(Coolpad)所出售的數以百萬計的Android流動設備中的後門程式(Backdoor)的細節。該後門程式名為「CoolReaper」,可使使用者暴露於潛在的惡意活動之中。似乎酷派儘管受到用戶的反對,仍安裝並維護該後門程式。
在一般情況下,流動設備製造商在Google Android流動作業系統上安裝額外的軟件可以為Android設備提供更多的功能和客制化服務,同時一些流動運營商也會安裝應用程式以搜集設備性能的數據。Palo Alto Networks威脅情報團隊Unit 42 對CoolReaper進行了詳細分析,認為CoolReaper除了搜集基本使用數據之外,似乎也進行其他運作,是一個真正植入酷派設備中的後門程式。此外,酷派似乎已對Android作業系統版本進行了修改,以阻止防毒程式檢測到此後門程式。
Palo Alto Networks研究員Claud Xiao在酷派出售的24款手機中發現了CoolReaper,這意味著根據可獲得的酷派公開銷售資訊,可能超過1千萬用戶受到影響。
「我們預計Android製造商在設備上預先安裝軟件以提供所需
功能並保持他們的應用程式及時更新。但是本報告中披露的Cool Reaper後門程式細節則遠遠超出了用戶可能的預期, 使酷派可以完全控制受影響的設備,隱藏該軟件不被防毒程式發現, 同時使使用者置於惡意攻擊中。我們強烈建議可能受到CoolRe aper影響的數百萬酷派使用者檢測他們的設備是否存在後門程式 ,並採取措施保護他們的資料安全。」 — Palo Alto Networks Unit 42 情報總監 Ryan Olson
CoolReaper的背景資訊及其影響
CoolReaper相關完整的調查結果已刊登在今日出版的《C
正如研究人員所發現,CoolReaper可以執行下列任務,
CoolReaper可執行下列工作:
- 未經使用者同意或通知使用者,下載、安裝或啟動任何Android應用程式
- 清除使用者資料,卸載現有應用程式或使系統應用程式失效
- 通知使用者不實的設備更新資訊,以安裝不需要的應用程式
- 隨機向手機發送或插入短訊或多媒體訊息
- 撥打隨機電話號碼
- 上傳設備資訊、位置、應用程式的使用資訊、通話和短訊記錄到酷派伺服器
酷派確認情況
Unit 42威脅情報團隊開始關注CoolReaper後門程式,
截止2014年12月17日,酷派並未對Palo Alto Networks多次提出的協助請求予以回覆。Palo Alto Networks已向Google Android安全小組 (Google Android Security Team)提供了本報告中的資料。
保護用戶
CoolReaper已被Palo Alto Networks 威脅情報雲的重要元件 WildFire™ 標記為惡意程式。Palo Alto 威脅情報雲可在虛擬環境中運作,
此外,在Palo Alto Networks 威脅防護產品中,所有已知的被CoolReaper使用過的命令
同時,Palo Alto Networks 還提供了特徵碼,可對惡意的CoolReaper 命令和控制流量進行偵測和攔截,
CoolReaper 後門程式的發現,進一步強化了對全面流動安全方案的需求,
(資料來源: 新聞稿)