企業(yè)安全領(lǐng)域引領(lǐng)者 Palo Alto Networks®（紐約證券交易所：PANW）近日披露一個后門程序的細節(jié)。該后門程序包含在全球最大的智能手機制造商之一 -- 中國酷派集團 (Coolpad) 所出售的數(shù)以百萬計的酷派系列移動設備中。該后門程序名為“CoolReaper”，可在潛在的惡意活動中暴露用戶信息?？崤刹活櫽脩舴磳?，似乎已安裝并維護著該后門程序。

    通常情況下，移動設備制造商在谷歌安卓移動操作系統(tǒng)上安裝軟件可以為安卓設備提供更多的功能和定制化服務，同時一些移動運營商也會安裝某些應用程序用來搜集設備性能數(shù)據(jù)。Palo Alto Networks 威脅情報團隊 Unit 42 對此進行了詳細分析，CoolReaper 作為一個真正的后臺程序植入酷派系列設備中除了搜集基本使用數(shù)據(jù)之外，似乎也進行著其他動作。此外，酷派似乎已對安卓操作系統(tǒng)版本進行了修改，以防止反病毒程序檢測到此后門程序。

    Palo Alto Networks 研究員 Claud Xiao 在出售的24款酷派手機中發(fā)現(xiàn)了 CoolReaper，這意味著根據(jù)公開的酷派系列的銷售信息，將有超過1千萬的用戶受到影響。

引用：

• “我們期望使用安卓系統(tǒng)的移動設備制造商在設備上預先安裝的軟件以提供所需功能并保持他們的應用程序及時更新。但是本報告中披露的CoolReaper 后門程序細節(jié)則遠遠超出了用戶可能的預期，使得受到影響的酷派系列終端可以完全被遠程控制，隱藏該軟件不被反病毒程序發(fā)現(xiàn)，同時使用戶置于惡意攻擊中。我們非常希望可能受到CoolReaper 影響的數(shù)百萬酷派系列終端用戶檢測他們所購買的設備是否存在后門程序，并采取措施保護他們的數(shù)據(jù)安全。”

      --  Palo Alto Networks Unit 42 情報總監(jiān) Ryan Olson

CoolReaper 的背景信息及其影響

    CoolReaper 相關(guān)的完整的調(diào)查結(jié)果已刊登在近日出版的 《CoolReaper：酷派中的后門程序》 的報告中，該報告由 Palo Alto Networks 威脅情報團隊 Unit 42 的 Claud Xiao 和 Ryan Olson 撰寫。在該報告中，Palo Alto Networks 還公布了一份文件列表以核對那些有可能存在 CoolReaper 后門程序的酷派系列移動設備。

    正如研究人員發(fā)現(xiàn)的那樣，CoolReaper 可以執(zhí)行下列任務，其中的任何一項都有可能使企業(yè)和用戶的敏感數(shù)據(jù)面臨風險。此外，惡意攻擊者也有可能利用 CoolReaper 的后端控制系統(tǒng)中的漏洞。

CoolReaper 功能：

• 未經(jīng)用戶同意或未通知客戶的情況下，進行下載、安裝或激活任一安卓應用程序
• 清除用戶數(shù)據(jù)，卸載現(xiàn)有應用程序或使系統(tǒng)應用程序失效
• 通知用戶一個虛假的設備更新信息，安裝不需要的應用程序
• 隨意給手機發(fā)送或插入短信或彩信
• 撥打任意電話號碼
• 上傳設備信息、位置、應用程序的使用信息、通話和短信歷史記錄到酷派服務器

酷派(Coolpad) 確認情況

    Unit 42 威脅情報團隊開始關(guān)注CoolReaper 后門程序，源于網(wǎng)絡留言版上張貼的酷派(CoolPad) 客戶投訴信息。11月份，烏云網(wǎng)(wooyun.org) 的一位研究人員發(fā)現(xiàn)了用于CoolReaper 的后端控制系統(tǒng)中存在漏洞，從而查明了酷派系列設備如何實現(xiàn)在軟件中控制后門程序。此外，中文新聞網(wǎng)站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里對該后門存在的具體細節(jié)進行了報道并列出了其濫用情況。

    截止到2014年12月17日，酷派(Coolpad) 并未對Palo Alto Networks 多次提出的幫助請求予以回復。Palo Alto Networks 已經(jīng)向谷歌安卓安全小組(Google Android Security Team) 提供了本報告中的數(shù)據(jù)。

保護用戶

    CoolReaper 已被 Palo Alto Networks 威脅情報云的重要組件 WildFire™ 標記為惡意程序。Palo Alto  威脅情報云可在虛擬環(huán)境中運行，能夠從應用中甄別威脅并自動將其傳送至 Palo Alto Networks GlobalProtect 以確認受此影響的設備。

    此外，在 Palo Alto Networks 威脅防護產(chǎn)品中，所有已知的被 CoolReaper 使用過的命令和控制 (C&C) URL 都被認定為惡意，允許用戶即使在命令和控制服務器或URL變更的情況下，防止數(shù)據(jù)滲漏。

    同時，Palo Alto Networks 還提供了命令和控制 (C&C) 的簽名，可對惡意的 CoolReaper 命令和控制流量進行探測和攔截，即使命令和控制 (C&C) 服務器改變位置該功能仍然有效。

    CoolReaper 后門程序的發(fā)現(xiàn)，進一步強化了對全面移動安全方案的需求，它將流量檢測與威脅情報相結(jié)合，用于檢測并防范危險應用程序。Palo Alto Networks 的 GlobalProtect 技術(shù)能夠保護組織機構(gòu)遠離高級網(wǎng)絡威脅，能夠持續(xù)分析移動（數(shù)據(jù)）內(nèi)容發(fā)現(xiàn)其中隱藏的或惡意的活動。

要了解更多信息：

• 登錄https://www.paloaltonetworks.com/resources/research/cool-reaper.html下載CoolReaper報告：酷派中的后門程序。
• 欲了解Palo Alto Networks 威脅情報團隊有關(guān)新研究、更新及已確認的演講，請訪問https://www.paloaltonetworks.com/threat-research.html。
• 訂閱常年研發(fā)及分析，請訪問Unit 42 博文: http://researchcenter.paloaltonetworks.com/unit42/。
• 欲了解Palo Alto Networks 企業(yè)安全平臺以及其如何向CoolReaper 提供安全，請訪問  https://www.paloaltonetworks.com/products/platforms.html。
• 欲解決您最嚴峻的挑戰(zhàn)，敬請參加將于2015年3月30日-4月1日在拉斯維加斯舉辦的Ignite 2015，Unit 42 團隊工程師恭候您的大駕光臨。點擊https://ignite2015.paloaltonetworks.com/portal/createAccount.ww 進行注冊，您便可攜手Palo Alto Networks。

關(guān)于 Unit 42

    Unit 42 是 Palo Alto Networks 的威脅情報團隊，它由高級網(wǎng)絡安全研究員與業(yè)界專家組成。Unit 42 收集、研究并分析最新威脅情報，與 Palo Alto Networks 客戶、合作伙伴及更廣泛的社區(qū)分享其見解，實現(xiàn)更好地保護組織機構(gòu)的目標。Unit 42 團隊定期參加全球行業(yè)大會。

關(guān)于 PALO ALTO NETWORKS

    Palo Alto Networks 正在引領(lǐng)網(wǎng)絡安全的新時代，可保護成千上萬的企業(yè)、政府機構(gòu)和服務提供商網(wǎng)絡免受網(wǎng)絡威脅。與分散的傳統(tǒng)產(chǎn)品不同，我們的安全平臺可確保企業(yè)安全營運，并根據(jù)當今動態(tài)計算環(huán)境中最重要的元素提供相應保護：應用程序、用戶和內(nèi)容。訪問 www.paloaltonetworks.com 可了解更多詳細信息。

    Palo Alto Networks 及 Palo Alto Networks 徽標是 Palo Alto Networks, Inc. 在美國及全球行政轄區(qū)的商標。 這里使用或提到的所有其他商標、商號或服務商標均歸其相應所有者所有。