企業安全領域領導者Palo Alto Networks®(紐約證券交易所:PANW)今天披露全球最大的智能手機製造商之一中國酷派集團(Coolpad)所出售的數以百萬計的Android流動設備中的後門程式(Backdoor)的細節。該後門程式名為「CoolReaper」,可使使用者暴露於潛在的惡意活動之中。似乎酷派儘管受到用戶的反對,仍安裝並維護該後門程式。
在一般情況下,流動設備製造商在Google Android流動作業系統上安裝額外的軟件可以為Android設備提供更多的功能和客制化服務,同時一些流動運營商也會安裝應用程式以搜集設備性能的數據。Palo Alto Networks威脅情報團隊Unit 42 對CoolReaper進行了詳細分析,認為CoolReaper除了搜集基本使用數據之外,似乎也進行其他運作,是一個真正植入酷派設備中的後門程式。此外,酷派似乎已對Android作業系統版本進行了修改,以阻止防毒程式檢測到此後門程式。
Palo Alto Networks研究員Claud Xiao在酷派出售的24款手機中發現了CoolReaper,這意味著根據可獲得的酷派公開銷售資訊,可能超過1千萬用戶受到影響。
引用:
- 「我們預計Android製造商在設備上預先安裝軟件以提供所需功能並保持他們的應用程式及時更新。但是本報告中披露的CoolReaper後門程式細節則遠遠超出了用戶可能的預期,使酷派可以完全控制受影響的設備,隱藏該軟件不被防毒程式發現,同時使使用者置於惡意攻擊中。我們強烈建議可能受到CoolReaper影響的數百萬酷派使用者檢測他們的設備是否存在後門程式,並採取措施保護他們的資料安全。」
– Palo Alto Networks Unit 42 情報總監 Ryan Olson
CoolReaper的背景資訊及其影響
CoolReaper相關完整的調查結果已刊登在今日出版的《CoolReaper:酷派後門程式》的報告中,該報告由Palo Alto Networks威脅情報團隊Unit 42 的Claud Xiao 和 Ryan Olson撰寫。在該報告中,Palo Alto Networks還公佈了一份文件列表以核對那些有可能存在CoolReaper後門程式的酷派設備。
正如研究人員所發現,CoolReaper可以執行下列任務,其中的任何一項都有可能使用戶和企業的敏感性資料面臨風險。此外,惡意攻擊者也有可能利用CoolReaper後端控制系統中的漏洞。
CoolReaper可執行下列工作:
- 未經使用者同意或通知使用者,下載、安裝或啟動任何Android應用程式
- 清除使用者資料,卸載現有應用程式或使系統應用程式失效
- 通知使用者不實的設備更新資訊,以安裝不需要的應用程式
- 隨機向手機發送或插入短訊或多媒體訊息
- 撥打隨機電話號碼
- 上傳設備資訊、位置、應用程式的使用資訊、通話和短訊記錄到酷派伺服器
酷派確認情況
Unit 42威脅情報團隊開始關注CoolReaper後門程式,源於網絡留言版上張貼的酷派客戶投訴資訊。11月份,烏雲網(wooyun.org)的一位研究人員發現用於CoolReaper的後端控制系統中存在漏洞,從而確認了酷派自身如何在軟件中控制後門程式。此外,中文新聞網站安全牛(www.aqniu.com)曾在2014年11月20日的一篇文章裡對該後門程式存在的具體細節作出報導,並指出其濫用情況。
截止2014年12月17日,酷派並未對Palo Alto Networks多次提出的協助請求予以回覆。Palo Alto Networks已向Google Android安全小組 (Google Android Security Team)提供了本報告中的資料。
保護用戶
CoolReaper已被Palo Alto Networks 威脅情報雲的重要元件 WildFire
標記為惡意程式。Palo Alto 威脅情報雲可在虛擬環境中運作,能夠從應用程式中識別受此威脅的設備並自動將其傳送至Palo Alto Networks GlobalProtect。
此外,在Palo Alto Networks 威脅防護產品中,所有已知的被CoolReaper使用過的命令和控制(Command &Control) URL都被認定為惡意,允許用戶即使在命令和控制伺服器或URL變更的情況下,防止資料滲漏。
同時,Palo Alto Networks 還提供了特徵碼,可對惡意的CoolReaper 命令和控制流量進行偵測和攔截,即使命令和控制伺服器改變位置該功能仍然有效。
CoolReaper 後門程式的發現,進一步強化了對全面流動安全方案的需求,它將流量檢測與威脅情報相結合,用於檢測並防範危險應用程式。Palo Alto Networks的GlobalProtect技術能夠保護組織機構遠離進階網絡威脅,包括能夠持續分析流動內容發現其中隱藏或惡意的活動。
欲了解更多資訊:
- 下載CoolReaper報告:酷派後門程式https://www.paloaltonetworks.com/resources/research/cool-reaper.html
- 欲了解Unit 42研究中心之有關嶄新研究、更新及演講,請瀏覽:https://www.paloaltonetworks.com/threat-research.html
- 訂閱定期研究及分析報告,請瀏覽Unit 42網誌:http://researchcenter.paloaltonetworks.com/unit42/
- 欲了解Palo Alto Networks 企業安全平台以及其如何防禦 CoolReaper,請瀏覽: https://www.paloaltonetworks.com/products/platforms.html
- 登記Palo Alto Networks於2015年3月30日至4月1日在拉斯維加斯舉行之Ignite 2015,與Unit 42 團隊見面共同面對你的資訊安全挑戰