omniture

Palo Alto Networks最新披露:酷派移動設備帶有后門程序

后門程序 “CoolReaper” 可能影響的安卓手機型號多達24款,影響用戶超過1千萬
Palo Alto Networks
2014-12-18 21:01 20985
企業(yè)安全領域引領者 Palo Alto Networks? 近日披露一個后門程序的細節(jié)。

北京2014年12月18日電 /美通社/ -- 企業(yè)安全領域引領者 Palo Alto Networks®(紐約證券交易所:PANW)近日披露一個后門程序的細節(jié)。該后門程序包含在全球較大的智能手機制造商之一 -- 中國酷派集團 (Coolpad) 所出售的數(shù)以百萬計的酷派系列移動設備中。該后門程序名為“CoolReaper”,可在潛在的惡意活動中暴露用戶信息。酷派不顧用戶反對,似乎已安裝并維護著該后門程序。

通常情況下,移動設備制造商在谷歌安卓移動操作系統(tǒng)上安裝軟件可以為安卓設備提供更多的功能和定制化服務,同時一些移動運營商也會安裝某些應用程序用來搜集設備性能數(shù)據(jù)。Palo Alto Networks 威脅情報團隊 Unit 42 對此進行了詳細分析,CoolReaper 作為一個真正的后臺程序植入酷派系列設備中除了搜集基本使用數(shù)據(jù)之外,似乎也進行著其他動作。此外,酷派似乎已對安卓操作系統(tǒng)版本進行了修改,以防止反病毒程序檢測到此后門程序。

Palo Alto Networks 研究員 Claud Xiao 在出售的24款酷派手機中發(fā)現(xiàn)了 CoolReaper,這意味著根據(jù)公開的酷派系列的銷售信息,將有超過1千萬的用戶受到影響。

引用:

  • “我們期望使用安卓系統(tǒng)的移動設備制造商在設備上預先安裝的軟件以提供所需功能并保持他們的應用程序及時更新。但是本報告中披露的 CoolReaper 后門程序細節(jié)則遠遠超出了用戶可能的預期,使得受到影響的酷派系列終端可以完全被遠程控制,隱藏該軟件不被反病毒程序發(fā)現(xiàn),同時使用戶置于惡意攻擊中。我們非常希望可能受到 CoolReaper 影響的數(shù)百萬酷派系列終端用戶檢測他們所購買的設備是否存在后門程序,并采取措施保護他們的數(shù)據(jù)安全?!?

      --  Palo Alto Networks Unit 42 情報總監(jiān) Ryan Olson

CoolReaper 的背景信息及其影響

CoolReaper 相關的完整的調(diào)查結果已刊登在近日出版的《CoolReaper:酷派中的后門程序》的報告中,該報告由 Palo Alto Networks 威脅情報團隊 Unit 42 的 Claud XiaoRyan Olson 撰寫。在該報告中,Palo Alto Networks 還公布了一份文件列表以核對那些有可能存在 CoolReaper 后門程序的酷派系列移動設備。

正如研究人員發(fā)現(xiàn)的那樣,CoolReaper 可以執(zhí)行下列任務,其中的任何一項都有可能使企業(yè)和用戶的敏感數(shù)據(jù)面臨風險。此外,惡意攻擊者也有可能利用 CoolReaper 的后端控制系統(tǒng)中的漏洞。

CoolReaper功能:

  • 未經(jīng)用戶同意或未通知客戶的情況下,進行下載、安裝或激活任一安卓應用程序
  • 清除用戶數(shù)據(jù),卸載現(xiàn)有應用程序或使系統(tǒng)應用程序失效
  • 通知用戶一個虛假的設備更新信息,安裝不需要的應用程序
  • 隨意給手機發(fā)送或插入短信或彩信
  • 撥打任意電話號碼
  • 上傳設備信息、位置、應用程序的使用信息、通話和短信歷史記錄到酷派服務器

酷派 (Coolpad) 確認情況

Unit 42 威脅情報團隊開始關注 CoolReaper 后門程序,源于網(wǎng)絡留言版上張貼的酷派 (CoolPad) 客戶投訴信息。11月份,烏云網(wǎng) (wooyun.org) 的一位研究人員發(fā)現(xiàn)了用于 CoolReaper 的后端控制系統(tǒng)中存在漏洞,從而查明了酷派系列設備如何實現(xiàn)在軟件中控制后門程序。此外,中文新聞網(wǎng)站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里對該后門存在的具體細節(jié)進行了報道并列出了其濫用情況。

截止到2014年12月17日,酷派 (Coolpad) 并未對 Palo Alto Networks 多次提出的幫助請求予以回復。Palo Alto Networks 已經(jīng)向谷歌安卓安全小組 (Google Android Security Team) 提供了本報告中的數(shù)據(jù)。

保護用戶

CoolReaper 已被 Palo Alto Networks 威脅情報云的重要組件 WildFire?標記為惡意程序。Palo Alto  威脅情報云可在虛擬環(huán)境中運行,能夠從應用中甄別威脅并自動將其傳送至 Palo Alto Networks GlobalProtect 以確認受此影響的設備。

此外,在 Palo Alto Networks 威脅防護產(chǎn)品中,所有已知的被 CoolReaper 使用過的命令和控制 (C&C) URL 都被認定為惡意,允許用戶即使在命令和控制服務器或URL變更的情況下,防止數(shù)據(jù)滲漏。

同時,Palo Alto Networks 還提供了命令和控制 (C&C) 的簽名,可對惡意的 CoolReaper 命令和控制流量進行探測和攔截,即使命令和控制 (C&C) 服務器改變位置該功能仍然有效。

CoolReaper 后門程序的發(fā)現(xiàn),進一步強化了對全面移動安全方案的需求,它將流量檢測與威脅情報相結合,用于檢測并防范危險應用程序。Palo Alto Networks 的 GlobalProtect 技術能夠保護組織機構遠離高級網(wǎng)絡威脅,能夠持續(xù)分析移動(數(shù)據(jù))內(nèi)容發(fā)現(xiàn)其中隱藏的或惡意的活動。

要了解更多信息:

消息來源:Palo Alto Networks
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection