北京2014年12月18日電 /美通社/ -- 企業安全領域引領者 Palo Alto Networks®(紐約證券交易所:PANW)近日披露一個后門程序的細節。該后門程序包含在全球較大的智能手機制造商之一 -- 中國酷派集團 (Coolpad) 所出售的數以百萬計的酷派系列移動設備中。該后門程序名為“CoolReaper”,可在潛在的惡意活動中暴露用戶信息。酷派不顧用戶反對,似乎已安裝并維護著該后門程序。
通常情況下,移動設備制造商在谷歌安卓移動操作系統上安裝軟件可以為安卓設備提供更多的功能和定制化服務,同時一些移動運營商也會安裝某些應用程序用來搜集設備性能數據。Palo Alto Networks 威脅情報團隊 Unit 42 對此進行了詳細分析,CoolReaper 作為一個真正的后臺程序植入酷派系列設備中除了搜集基本使用數據之外,似乎也進行著其他動作。此外,酷派似乎已對安卓操作系統版本進行了修改,以防止反病毒程序檢測到此后門程序。
Palo Alto Networks 研究員 Claud Xiao 在出售的24款酷派手機中發現了 CoolReaper,這意味著根據公開的酷派系列的銷售信息,將有超過1千萬的用戶受到影響。
引用:
-- Palo Alto Networks Unit 42 情報總監 Ryan Olson
CoolReaper 的背景信息及其影響
CoolReaper 相關的完整的調查結果已刊登在近日出版的《CoolReaper:酷派中的后門程序》的報告中,該報告由 Palo Alto Networks 威脅情報團隊 Unit 42 的 Claud Xiao 和 Ryan Olson 撰寫。在該報告中,Palo Alto Networks 還公布了一份文件列表以核對那些有可能存在 CoolReaper 后門程序的酷派系列移動設備。
正如研究人員發現的那樣,CoolReaper 可以執行下列任務,其中的任何一項都有可能使企業和用戶的敏感數據面臨風險。此外,惡意攻擊者也有可能利用 CoolReaper 的后端控制系統中的漏洞。
CoolReaper功能:
酷派 (Coolpad) 確認情況
Unit 42 威脅情報團隊開始關注 CoolReaper 后門程序,源于網絡留言版上張貼的酷派 (CoolPad) 客戶投訴信息。11月份,烏云網 (wooyun.org) 的一位研究人員發現了用于 CoolReaper 的后端控制系統中存在漏洞,從而查明了酷派系列設備如何實現在軟件中控制后門程序。此外,中文新聞網站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里對該后門存在的具體細節進行了報道并列出了其濫用情況。
截止到2014年12月17日,酷派 (Coolpad) 并未對 Palo Alto Networks 多次提出的幫助請求予以回復。Palo Alto Networks 已經向谷歌安卓安全小組 (Google Android Security Team) 提供了本報告中的數據。
保護用戶
CoolReaper 已被 Palo Alto Networks 威脅情報云的重要組件 WildFire?標記為惡意程序。Palo Alto 威脅情報云可在虛擬環境中運行,能夠從應用中甄別威脅并自動將其傳送至 Palo Alto Networks GlobalProtect 以確認受此影響的設備。
此外,在 Palo Alto Networks 威脅防護產品中,所有已知的被 CoolReaper 使用過的命令和控制 (C&C) URL 都被認定為惡意,允許用戶即使在命令和控制服務器或URL變更的情況下,防止數據滲漏。
同時,Palo Alto Networks 還提供了命令和控制 (C&C) 的簽名,可對惡意的 CoolReaper 命令和控制流量進行探測和攔截,即使命令和控制 (C&C) 服務器改變位置該功能仍然有效。
CoolReaper 后門程序的發現,進一步強化了對全面移動安全方案的需求,它將流量檢測與威脅情報相結合,用于檢測并防范危險應用程序。Palo Alto Networks 的 GlobalProtect 技術能夠保護組織機構遠離高級網絡威脅,能夠持續分析移動(數據)內容發現其中隱藏的或惡意的活動。
要了解更多信息:
