北京2014年12月18日電/美通社/--企業(yè)安全領(lǐng)域引領(lǐng)者Palo Alto Networks?（紐約證券交易所：PANW）近日披露一個(gè)后門(mén)程序的細(xì)節(jié)。該后門(mén)程序包含在全球最大的智能手機(jī)制造商之一--中國(guó)酷派集團(tuán)(Coolpad)所出售的數(shù)以百萬(wàn)計(jì)的酷派系列移動(dòng)設(shè)備中。該后門(mén)程序名為“CoolReaper”，可在潛在的惡意活動(dòng)中暴露用戶信息?？崤刹活櫽脩舴磳?duì)，似乎已安裝并維護(hù)著該后門(mén)程序。

企業(yè)安全領(lǐng)域引領(lǐng)者Palo Alto Networks?近日披露一個(gè)后門(mén)程序的細(xì)節(jié)

通常情況下，移動(dòng)設(shè)備制造商在谷歌安卓移動(dòng)操作系統(tǒng)上安裝軟件可以為安卓設(shè)備提供更多的功能和定制化服務(wù)，同時(shí)一些移動(dòng)運(yùn)營(yíng)商也會(huì)安裝某些應(yīng)用程序用來(lái)搜集設(shè)備性能數(shù)據(jù)。Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit 42對(duì)此進(jìn)行了詳細(xì)分析，CoolReaper作為一個(gè)真正的后臺(tái)程序植入酷派系列設(shè)備中除了搜集基本使用數(shù)據(jù)之外，似乎也進(jìn)行著其他動(dòng)作。此外，酷派似乎已對(duì)安卓操作系統(tǒng)版本進(jìn)行了修改，以防止反病毒程序檢測(cè)到此后門(mén)程序。

Palo Alto Networks研究員Claud Xiao在出售的24款酷派手機(jī)中發(fā)現(xiàn)了CoolReaper，這意味著根據(jù)公開(kāi)的酷派系列的銷售信息，將有超過(guò)1千萬(wàn)的用戶受到影響。

“我們期望使用安卓系統(tǒng)的移動(dòng)設(shè)備制造商在設(shè)備上預(yù)先安裝的軟件以提供所需功能并保持他們的應(yīng)用程序及時(shí)更新。但是本報(bào)告中披露的CoolReaper后門(mén)程序細(xì)節(jié)則遠(yuǎn)遠(yuǎn)超出了用戶可能的預(yù)期，使得受到影響的酷派系列終端可以完全被遠(yuǎn)程控制，隱藏該軟件不被反病毒程序發(fā)現(xiàn)，同時(shí)使用戶置于惡意攻擊中。我們非常希望可能受到CoolReaper影響的數(shù)百萬(wàn)酷派系列終端用戶檢測(cè)他們所購(gòu)買(mǎi)的設(shè)備是否存在后門(mén)程序，并采取措施保護(hù)他們的數(shù)據(jù)安全?！薄狿alo Alto Networks Unit42情報(bào)總監(jiān)Ryan Olson

CoolReaper的背景信息及其影響

CoolReaper相關(guān)的完整的調(diào)查結(jié)果已刊登在近日出版的《CoolReaper：酷派中的后門(mén)程序》的報(bào)告中，該報(bào)告由Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit 42的Claud Xiao和Ryan Olson撰寫(xiě)。在該報(bào)告中，Palo Alto Networks還公布了一份文件列表以核對(duì)那些有可能存在CoolReaper后門(mén)程序的酷派系列移動(dòng)設(shè)備。

正如研究人員發(fā)現(xiàn)的那樣，Cool-Reaper可以執(zhí)行下列任務(wù)，其中的任何一項(xiàng)都有可能使企業(yè)和用戶的數(shù)據(jù)面臨風(fēng)險(xiǎn)。此外，惡意攻擊者也有可能利用CoolReaper的后端控制系統(tǒng)中的漏洞。

CoolReaper功能

●未經(jīng)用戶同意或未通知客戶的情況下，進(jìn)行下載、安裝或激活任一安卓應(yīng)用程序

●清除用戶數(shù)據(jù)，卸載現(xiàn)有應(yīng)用程序或使系統(tǒng)應(yīng)用程序失效

●通知用戶一個(gè)虛假的設(shè)備更新信息，安裝不需要的應(yīng)用程序

●隨意給手機(jī)發(fā)送或插入短信或彩信

●撥打任意電話號(hào)碼

●上傳設(shè)備信息、位置、應(yīng)用程序的使用信息、通話和短信歷史記錄到酷派服務(wù)器

酷派(Coolpad)確認(rèn)情況

Unit 42威脅情報(bào)團(tuán)隊(duì)開(kāi)始關(guān)注CoolReaper后門(mén)程序，源于網(wǎng)絡(luò)留言版上張貼的酷派(CoolPad)客戶投訴信息。11月份，烏云網(wǎng)(wooyun.org)的一位研究人員發(fā)現(xiàn)了用于Cool-Reaper的后端控制系統(tǒng)中存在漏洞，從而查明了酷派系列設(shè)備如何實(shí)現(xiàn)在軟件中控制后門(mén)程序。此外，中文新聞網(wǎng)站安全牛www.aqniu.com曾在2014年11月20日的一篇文章里對(duì)該后門(mén)存在的具體細(xì)節(jié)進(jìn)行了報(bào)道并列出了其濫用情況。

截止到2014年12月17日，酷派(Coolpad)并未對(duì)Palo Alto Networks多次提出的幫助請(qǐng)求予以回復(fù)。Palo Alto Networks已經(jīng)向谷歌安卓安全小組(Google Android Security Team)提供了本報(bào)告中的數(shù)據(jù)。

保護(hù)用戶

CoolReaper已被Palo Alto Networks威脅情報(bào)云的重要組件WildFire?標(biāo)記為惡意程序。Palo Alto威脅情報(bào)云可在虛擬環(huán)境中運(yùn)行，能夠從應(yīng)用中甄別威脅并自動(dòng)將其傳送至Palo Alto Networks GlobalProtect以確認(rèn)受此影響的設(shè)備。

此外，在Palo Alto Networks威脅防護(hù)產(chǎn)品中，所有已知的被CoolReaper使用過(guò)的命令和控制(C&C)URL都被認(rèn)定為惡意，允許用戶即使在命令和控制服務(wù)器或URL變更的情況下，防止數(shù)據(jù)滲漏。

同時(shí)，Palo Alto Networks還提供了命令和控制(C&C)的簽名，可對(duì)惡意的CoolReaper命令和控制流量進(jìn)行探測(cè)和攔截，即使命令和控制(C&C)服務(wù)器改變位置該功能仍然有效。

CoolReaper后門(mén)程序的發(fā)現(xiàn)，進(jìn)一步強(qiáng)化了對(duì)全面移動(dòng)安全方案的需求，它將流量檢測(cè)與威脅情報(bào)相結(jié)合，用于檢測(cè)并防范危險(xiǎn)應(yīng)用程序。Palo Alto Networks的GlobalProtect技術(shù)能夠保護(hù)組織機(jī)構(gòu)遠(yuǎn)離高級(jí)網(wǎng)絡(luò)威脅，能夠持續(xù)分析移動(dòng)（數(shù)據(jù)）內(nèi)容發(fā)現(xiàn)其中隱藏的或惡意的活動(dòng)。