Gefahr für Smartphones durch die Hintertür - Palo Alto Networks entdeckt Backdoor in Android-Geräten von Coolpad
-- Von „CoolReaper" sind potenziell 24 Android-Smartphone-Modelle und weit über 10 Millionen Nutzer betroffen
MÜNCHEN, 17. Dezember 2014 /PRNewswire/ -- Palo Alto Networks gibt heute Details über eine Backdoor-Malware bekannt, die Millionen von Android-basierten mobilen Geräten gefährdet. Gefährdet sind Geräte von dem chinesischen Anbieter Coolpad, dem weltweit sechstgrößten Smartphone-Hersteller. Die Hintertür mit dem Namen „CoolReaper" setzt Benutzer potenziell schädlichen Aktivitäten aus und wurde offensichtlich durch Coolpad trotz der Einwände von Kunden installiert.
Logo - http://photos.prnewswire.com/prnh/20130508/SF04701LOGO
Es ist üblich, dass Gerätehersteller auf Googles Android-Smartphone-Betriebssystem eigene Software „on top" installieren, um zusätzliche Funktionen bereitzustellen und Anpassungsmaßnahmen vorzunehmen. Einige Mobilfunkbetreiber installieren auch Anwendungen, um Daten über die Performance des Geräts zu sammeln. Nach eingehender Analyse durch Unit 42, das Analyse-Team von Palo Alto Networks, geht CoolReaper aber weit über die Sammlung von Grundnutzungsdaten hinaus. Die Software fungiert als eine echte Hintertür für den heimlichen Zugang in Coolpad-Geräte. Coolpad scheint auch eine Version des Android-Betriebssystems geändert haben, um es Antivirus-Programme zu erschweren, die Hintertür zu erkennen.
CoolReaper, entdeckt von Claud Xiao, IT-Sicherheitsforscher bei Palo Alto Networks, wurde auf 24 Handymodellen, die von Coolpad verkauft wurden, identifiziert. Daraus resultiert eine mögliche Gefährdung von über 10 Millionen Nutzer, wenn man öffentlich erhältliche Informationen von Coolpad zugrundelegt.
„Wir gehen davon aus, dass Android-Hersteller in der Regel Software auf Geräten vorinstallieren, die Funktionen bereitstellen und Anwendungen auf dem neuesten Stand halten. Aber die CoolReaper-Hintertür geht weit darüber hinaus. Coolpad hat vollständige Kontrolle über die betroffenen Geräte, behindert die Software von Antivirus-Programmen liefert Benutzer ungeschützt möglicherweise böswilligen Akteuren aus. Wir fordern die Millionen von Coolpad-Benutzern auf, die von CoolReaper betroffen sein könnten, ihre Geräte hinsichtlich dieser Hintertür zu überprüfen und Maßnahmen zu ergreifen, um ihre Daten zu schützen", erklärte Ryan Olson, Intelligence Director, Unit 42, Palo Alto Networks.
Hintergründe und Auswirkungen von CoolReaper
Die vollständigen Ergebnisse zu CoolReaper wird heute der Report „CoolReaper: The Coolpad Backdoor", ein neuer Bericht von Unit 42, verfasst von Claud Xiao und Ryan Olson, veröffentlicht. In der Analyse hat Palo Alto Networks auch eine Liste von Dateien veröffentlicht, die auf die CoolReaper-Hintertür in Coolpad-Geräten hinweisen.
Wie die Forscher festgestellt haben, kann CoolReaper jede der folgenden Aufgaben ausführen, wodurch sensible Benutzer- oder Unternehmensdaten gefährdet werden könnten. Darüber hinaus könnten Angreifer eine Schwachstelle ausnutzen, die im Backend-Steuerungssystem von CoolReaper gefunden wurde.
CoolReaper kann:
- eine Android-Anwendung ohne Einwilligung oder Benachrichtigung des Nutzers herunterladen, installieren oder aktivieren.
- Benutzerdaten löschen, vorhandene Anwendungen deinstallieren oder Systemanwendungen deaktivieren.
- Benutzer über ein gefälschtes Over-the-Air (OTA) Update informieren, das das Gerät nicht aktualisiert, sondern unerwünschte Anwendungen installiert.
- beliebige SMS oder MMS versenden oder hinzufügen.
- beliebige Telefonnummern wählen.
- Informationen über Gerät, Standort, Anwendungsnutzung, Anrufe und SMS-Historie zu einem Coolpad-Server hochladen.
Wie Coolpad ans Tageslicht kam
Unit 42 begann mit der Beobachtung von dem, was später als CoolReaper bekannt wurde, nach zahlreichen Beschwerden von Coolpad-Kunden in China auf Internet Message Boards. Im November hat ein Forscher, der mit Wooyun.org zusammenarbeitet, eine Schwachstelle im Backend-Steuerungssystem für CoolReaper identifiziert. Dies machte deutlich, wie Coolpad selbst die Hintertür in der Software steuert. Zusätzlich berichtete die chinesische News-Website Aqniu.com in einem Artikel vom 20. November 2014 über einige Details zur Existenz dieser Hintertür und deren Missbrauch.
Seit 17. Dezember 2014 hat Coolpad nicht mehr auf Hilfeersuchen von Palo Alto Networks reagiert. Dem Android Security Team von Google wurden auch die im Bericht enthaltenen Daten zur Verfügung gestellt.
Schutz der Nutzer
Alle bekannten Samples von CoolReaper wurden in WildFire™ als schädlich markiert. WildFire bildet eine Schlüsselkomponente der Threat Intelligence Cloud von Palo Alto Networks. Diese dient der Identifizierung von Bedrohungen durch verdächtige Anwendungen, indem diese in einer virtuellen Umgebung ausgeführt werden und automatisch Palo Alto Networks GlobalProtect mitgeteilt werden, um betroffene Geräte zu erfassen.
Darüber hinaus werden alle bekannten Command & Control-URLs, die von CoolReaper verwendet wurden, in den Threat-Prevention-Produkten von Palo Alto Networks als schädlich identifiziert. Dadurch können Kunden das Herausfiltern von Daten verhindern, auch wenn sich die Command & Control-Server oder URLs ändern.
Palo Alto Networks hat auch Signaturen zur Verfügung gestellt, um bösartigen Command & Control Traffic von CoolReaper zu erkennen und zu blockieren. Diese sind auch wirksam, wenn der Command & Control Server seinen Standort wechselt.
Die Erkenntnisse zu CoolReaper bekräftigen erneut den Bedarf für umfassende mobile Sicherheit mit einer Kombination von Traffic-Inspektion zusammen mit Bedrohungsanalyse zur Erkennung und auch Verhinderung von gefährlichen Anwendungen. GlobalProtect von Palo Alto Networks bietet Unternehmen Schutz vor erweiterten Online-Bedrohungen, einschließlich der Fähigkeit, mobile Inhalte auf verdeckte oder bösartige Aktivitäten hin kontinuierlich zu analysieren.
Weitere Informationen
- Report Download Cool Reaper: The Coolpad Backdoor als Download:
https://www.paloaltonetworks.com/resources/research/cool-reaper.html - Besuchen Sie die Website des „Unit 42"-Forschungszentrums: https://www.paloaltonetworks.com/threat-research.html
- Erhalten Sie regelmäßig Informationen zu Untersuchungen und Analysen vom Unit 42 Blog: http://researchcenter.paloaltonetworks.com/unit42/
- Erfahren Sie mehr über die Enterprise-Security-Plattform von Palo Alto Networks und wie sie Schutz bietet vor CoolReaper: https://www.paloaltonetworks.com/products/platforms.html
- Treffen Sie unsere Experten von Unit 42 bei Ignite 2015, wo wir tiefe Einblicke in unsere aktuellen Entwicklungen für mehr IT-Sicherheit geben. Registrieren Sie sich schon jetzt für unsere Veranstaltung Las Vegas vom 30. März bis 1. April 2015.
Über Palo Alto Networks
Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte. Weitere Informationen unter http://www.paloaltonetworks.com.
Über Unit 42
Unit 42, das Bedrohungsanalayse-Team von Palo Alto Networks, setzt sich zusammen aus versierten Cyber-Forschern und Branchenexperten. Unit 42 sammelt, erforscht und analysiert minutenaktuell Bedrohungen und teilt seine Erkenntnisse mit Kunden, Partnern und der breiteren Community von Palo Alto Networks, um Unternehmen und Institutionen besser zu schützen. Das Führungsteam von Unit 42 ist regelmäßig auf Konferenzen auf der ganzen Welt präsent.
Share this article