北京2014年12月18日电 /美通社/ -- 企业安全领域引领者 Palo Alto Networks®(纽约证券交易所:PANW)近日披露一个后门程序的细节。该后门程序包含在全球较大的智能手机制造商之一 -- 中国酷派集团 (Coolpad) 所出售的数以百万计的酷派系列移动设备中。该后门程序名为“CoolReaper”,可在潜在的恶意活动中暴露用户信息。酷派不顾用户反对,似乎已安装并维护着该后门程序。
通常情况下,移动设备制造商在谷歌安卓移动操作系统上安装软件可以为安卓设备提供更多的功能和定制化服务,同时一些移动运营商也会安装某些应用程序用来搜集设备性能数据。Palo Alto Networks 威胁情报团队 Unit 42 对此进行了详细分析,CoolReaper 作为一个真正的后台程序植入酷派系列设备中除了搜集基本使用数据之外,似乎也进行着其他动作。此外,酷派似乎已对安卓操作系统版本进行了修改,以防止反病毒程序检测到此后门程序。
Palo Alto Networks 研究员 Claud Xiao 在出售的24款酷派手机中发现了 CoolReaper,这意味着根据公开的酷派系列的销售信息,将有超过1千万的用户受到影响。
引用:
-- Palo Alto Networks Unit 42 情报总监 Ryan Olson
CoolReaper 的背景信息及其影响
CoolReaper 相关的完整的调查结果已刊登在近日出版的《CoolReaper:酷派中的后门程序》的报告中,该报告由 Palo Alto Networks 威胁情报团队 Unit 42 的 Claud Xiao 和 Ryan Olson 撰写。在该报告中,Palo Alto Networks 还公布了一份文件列表以核对那些有可能存在 CoolReaper 后门程序的酷派系列移动设备。
正如研究人员发现的那样,CoolReaper 可以执行下列任务,其中的任何一项都有可能使企业和用户的敏感数据面临风险。此外,恶意攻击者也有可能利用 CoolReaper 的后端控制系统中的漏洞。
CoolReaper功能:
酷派 (Coolpad) 确认情况
Unit 42 威胁情报团队开始关注 CoolReaper 后门程序,源于网络留言版上张贴的酷派 (CoolPad) 客户投诉信息。11月份,乌云网 (wooyun.org) 的一位研究人员发现了用于 CoolReaper 的后端控制系统中存在漏洞,从而查明了酷派系列设备如何实现在软件中控制后门程序。此外,中文新闻网站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里对该后门存在的具体细节进行了报道并列出了其滥用情况。
截止到2014年12月17日,酷派 (Coolpad) 并未对 Palo Alto Networks 多次提出的帮助请求予以回复。Palo Alto Networks 已经向谷歌安卓安全小组 (Google Android Security Team) 提供了本报告中的数据。
保护用户
CoolReaper 已被 Palo Alto Networks 威胁情报云的重要组件 WildFire™标记为恶意程序。Palo Alto 威胁情报云可在虚拟环境中运行,能够从应用中甄别威胁并自动将其传送至 Palo Alto Networks GlobalProtect 以确认受此影响的设备。
此外,在 Palo Alto Networks 威胁防护产品中,所有已知的被 CoolReaper 使用过的命令和控制 (C&C) URL 都被认定为恶意,允许用户即使在命令和控制服务器或URL变更的情况下,防止数据渗漏。
同时,Palo Alto Networks 还提供了命令和控制 (C&C) 的签名,可对恶意的 CoolReaper 命令和控制流量进行探测和拦截,即使命令和控制 (C&C) 服务器改变位置该功能仍然有效。
CoolReaper 后门程序的发现,进一步强化了对全面移动安全方案的需求,它将流量检测与威胁情报相结合,用于检测并防范危险应用程序。Palo Alto Networks 的 GlobalProtect 技术能够保护组织机构远离高级网络威胁,能够持续分析移动(数据)内容发现其中隐藏的或恶意的活动。
要了解更多信息:
