北京2014年12月18日電 /美通社/ -- 企業(yè)安全領(lǐng)域引領(lǐng)者 Palo Alto Networks®(紐約證券交易所:PANW)近日披露一個后門程序的細節(jié)��。該后門程序包含在全球較大的智能手機制造商之一 -- 中國酷派集團 (Coolpad) 所出售的數(shù)以百萬計的酷派系列移動設(shè)備中��。該后門程序名為“CoolReaper”��,可在潛在的惡意活動中暴露用戶信息��。酷派不顧用戶反對��,似乎已安裝并維護著該后門程序��。
通常情況下��,移動設(shè)備制造商在谷歌安卓移動操作系統(tǒng)上安裝軟件可以為安卓設(shè)備提供更多的功能和定制化服務(wù)��,同時一些移動運營商也會安裝某些應(yīng)用程序用來搜集設(shè)備性能數(shù)據(jù)��。Palo Alto Networks 威脅情報團隊 Unit 42 對此進行了詳細分析��,CoolReaper 作為一個真正的后臺程序植入酷派系列設(shè)備中除了搜集基本使用數(shù)據(jù)之外��,似乎也進行著其他動作��。此外��,酷派似乎已對安卓操作系統(tǒng)版本進行了修改��,以防止反病毒程序檢測到此后門程序��。
Palo Alto Networks 研究員 Claud Xiao 在出售的24款酷派手機中發(fā)現(xiàn)了 CoolReaper��,這意味著根據(jù)公開的酷派系列的銷售信息��,將有超過1千萬的用戶受到影響。
引用:
- “我們期望使用安卓系統(tǒng)的移動設(shè)備制造商在設(shè)備上預(yù)先安裝的軟件以提供所需功能并保持他們的應(yīng)用程序及時更新��。但是本報告中披露的 CoolReaper 后門程序細節(jié)則遠遠超出了用戶可能的預(yù)期��,使得受到影響的酷派系列終端可以完全被遠程控制��,隱藏該軟件不被反病毒程序發(fā)現(xiàn)��,同時使用戶置于惡意攻擊中��。我們非常希望可能受到 CoolReaper 影響的數(shù)百萬酷派系列終端用戶檢測他們所購買的設(shè)備是否存在后門程序��,并采取措施保護他們的數(shù)據(jù)安全��?�!?
-- Palo Alto Networks Unit 42 情報總監(jiān) Ryan Olson
CoolReaper 的背景信息及其影響
CoolReaper 相關(guān)的完整的調(diào)查結(jié)果已刊登在近日出版的《CoolReaper:酷派中的后門程序》的報告中��,該報告由 Palo Alto Networks 威脅情報團隊 Unit 42 的 Claud Xiao 和 Ryan Olson 撰寫��。在該報告中��,Palo Alto Networks 還公布了一份文件列表以核對那些有可能存在 CoolReaper 后門程序的酷派系列移動設(shè)備��。
正如研究人員發(fā)現(xiàn)的那樣��,CoolReaper 可以執(zhí)行下列任務(wù)��,其中的任何一項都有可能使企業(yè)和用戶的敏感數(shù)據(jù)面臨風(fēng)險��。此外��,惡意攻擊者也有可能利用 CoolReaper 的后端控制系統(tǒng)中的漏洞��。
CoolReaper功能:
- 未經(jīng)用戶同意或未通知客戶的情況下��,進行下載��、安裝或激活任一安卓應(yīng)用程序
- 清除用戶數(shù)據(jù)��,卸載現(xiàn)有應(yīng)用程序或使系統(tǒng)應(yīng)用程序失效
- 通知用戶一個虛假的設(shè)備更新信息��,安裝不需要的應(yīng)用程序
- 隨意給手機發(fā)送或插入短信或彩信
- 撥打任意電話號碼
- 上傳設(shè)備信息��、位置��、應(yīng)用程序的使用信息��、通話和短信歷史記錄到酷派服務(wù)器
酷派 (Coolpad) 確認情況
Unit 42 威脅情報團隊開始關(guān)注 CoolReaper 后門程序��,源于網(wǎng)絡(luò)留言版上張貼的酷派 (CoolPad) 客戶投訴信息��。11月份,烏云網(wǎng) (wooyun.org) 的一位研究人員發(fā)現(xiàn)了用于 CoolReaper 的后端控制系統(tǒng)中存在漏洞��,從而查明了酷派系列設(shè)備如何實現(xiàn)在軟件中控制后門程序��。此外��,中文新聞網(wǎng)站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里對該后門存在的具體細節(jié)進行了報道并列出了其濫用情況��。
截止到2014年12月17日��,酷派 (Coolpad) 并未對 Palo Alto Networks 多次提出的幫助請求予以回復(fù)��。Palo Alto Networks 已經(jīng)向谷歌安卓安全小組 (Google Android Security Team) 提供了本報告中的數(shù)據(jù)��。
保護用戶
CoolReaper 已被 Palo Alto Networks 威脅情報云的重要組件 WildFire?標記為惡意程序��。Palo Alto 威脅情報云可在虛擬環(huán)境中運行��,能夠從應(yīng)用中甄別威脅并自動將其傳送至 Palo Alto Networks GlobalProtect 以確認受此影響的設(shè)備��。
此外��,在 Palo Alto Networks 威脅防護產(chǎn)品中��,所有已知的被 CoolReaper 使用過的命令和控制 (C&C) URL 都被認定為惡意��,允許用戶即使在命令和控制服務(wù)器或URL變更的情況下��,防止數(shù)據(jù)滲漏��。
同時��,Palo Alto Networks 還提供了命令和控制 (C&C) 的簽名��,可對惡意的 CoolReaper 命令和控制流量進行探測和攔截��,即使命令和控制 (C&C) 服務(wù)器改變位置該功能仍然有效��。
CoolReaper 后門程序的發(fā)現(xiàn)��,進一步強化了對全面移動安全方案的需求��,它將流量檢測與威脅情報相結(jié)合��,用于檢測并防范危險應(yīng)用程序��。Palo Alto Networks 的 GlobalProtect 技術(shù)能夠保護組織機構(gòu)遠離高級網(wǎng)絡(luò)威脅��,能夠持續(xù)分析移動(數(shù)據(jù))內(nèi)容發(fā)現(xiàn)其中隱藏的或惡意的活動��。
要了解更多信息:
