Palo Alto Networks dévoile une porte dérobée sur les terminaux Android vendus par Coolpad
-- « CoolReaper » pourrait affecter 24 modèles de téléphones Android et toucher plus de 10 millions d'utilisateurs
PARIS, 17 décembre 2014 /PRNewswire/ -- Palo Alto Networks® (NYSE : PANW), le spécialiste de la sécurité réseau, révèle aujourd'hui des informations sur une porte dérobée (« backdoor » en anglais) présente sur des millions de terminaux mobiles Android vendus par Coolpad, l'un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d'éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.
Logo - http://photos.prnewswire.com/prnh/20130508/SF04701LOGO
Il arrive fréquemment que les fabricants d'équipements installent des logiciels sur le système d'exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d'après l'analyse détaillée de l'Unité 42 – l'équipe d'analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d'utilisation de base. Son fonctionnement s'apparenterait davantage à celui d'une véritable porte dérobée permettant d'accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d'exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d'antivirus.
Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l'on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d'utilisateurs.
« Il est naturel que les fabricants d'équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d'actes de malveillance. Nous encourageons vivement les millions d'utilisateurs Coolpad susceptibles d'être concernés par CoolReaper d'inspecter leurs appareils pour y rechercher l'éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l'Unité 42 chez Palo Alto Networks
Contexte et effets de CoolReaper
L'intégralité des résultats de l'analyse de CoolReaper figure dans le rapport de l'Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd'hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d'indiquer la présence de la porte dérobée CoolReaper.
Comme l'ont observé les chercheurs, CoolReaper est capable d'effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.
CoolReaper est capable de :
- télécharger, installer ou activer n'importe quelle application Android sans autorisation ou notification de l'utilisateur ;
- effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ;
- informer les utilisateurs d'une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ;
- envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ;
- transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l'utilisation des applications, l'historique des appels et des SMS.
Prise en compte par Coolpad
L'Unité 42 a commencé à observer ce que l'on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d'information chinois, Aqniu.com, a par ailleurs signalé l'existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014.
Au 17 décembre 2014, Coolpad n'a toujours pas répondu aux nombreuses demandes d'assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l'équipe de sécurité Android de Google.
Protection des utilisateurs
Tous les échantillons connus de CoolReaper ont été marqués comme étant malveillants par WildFire™, un composant clé du Cloud d'analyse des menaces de Palo Alto Networks (Threat Intelligence Cloud) qui, pour identifier les menaces provenant d'applications, les exécute dans un environnement virtuel et les partage automatiquement avec Palo Alto Networks GlobalProtect afin d'identifier les terminaux infectés.
De plus, toutes les URL de commande et de contrôle utilisées par CoolReaper sont identifiées comme étant malveillantes dans les produits de prévention contre les menaces de Palo Alto Networks. Les clients peuvent ainsi empêcher l'exfiltration de données même en cas de changement de serveurs ou d'URL de commande et de contrôle.
Pour détecter et bloquer tout trafic malveillant de commande et contrôle CoolReaper, Palo Alto Networks propose également des signatures qui restent efficaces même en cas de déplacement du serveur de commande et contrôle.
Les résultats des études sur CoolReaper viennent renforcer l'idée qu'une sécurité mobile exhaustive passe par l'association des technologies d'inspection du trafic et d'analyse des menaces en vue de détecter et de se prémunir contre les applications dangereuses. GlobalProtect de Palo Alto Networks protège les entreprises contre les cybermenaces avancées et offre, en prime, une analyse permanente des contenus mobiles afin de détecter toute activité secrète ou malveillante.
Pour en savoir plus :
- Téléchargez le rapport :
https://www.paloaltonetworks.com/resources/research/cool-reaper.html - Consultez les nouveaux rapports, les mises à jour et la liste des interventions programmées de l'Unité 42, l'équipe d'analyse des menaces chez Palo Alto Networks : https://www.paloaltonetworks.com/threat-research.html
- Inscrivez-vous sur le blog de l'Unité 42 pour suivre les recherches et les analyses : http://researchcenter.paloaltonetworks.com/unit42/
- Découvrez la plateforme de sécurité d'entreprise de Palo Alto Networks et son action de protection contre CoolReaper :
https://www.paloaltonetworks.com/products/platforms.html - Retrouvez l'Unit42 lors de l'événement Ignite 2015. Enregistrez-vous dès maintenant et rejoignez Palo Alto Networks à Las Vegas, du 30 mars au 1er avril 2015.
À propos de l'Unité 42
L'Unité 42 est l'équipe d'analyse des menaces chez Palo Alto Networks, composée de chercheurs accomplis en matière de cybersécurité et d'experts du secteur. Sa mission consiste à compiler, étudier et analyser les données en temps réel relatives aux menaces informatiques. Toutes les découvertes sont ensuite communiquées aux clients et aux partenaires de Palo Alto Networks et diffusées auprès de la collectivité en général, en vue d'améliorer la protection des entreprises et des organisations. Les responsables de l'Unité 42 interviennent régulièrement dans des conférences spécialisées à travers le monde.
À propos de Palo Alto Networks
Palo Alto Networks est l'un des acteurs leaders de la nouvelle ère de la cyber-sécurité, et protège aujourd'hui plusieurs milliers d'entreprises, prestataires de services et organismes gouvernementaux. Contrairement aux produits plus traditionnels, notre plate-forme de sécurité de nouvelle génération permet aux opérations business d'avoir lieu en toute sécurité et propose une protection basée sur ce qui importe le plus dans les environnements informatiques dynamiques actuels : les applications, les utilisateurs et le contenu. Pour en savoir plus, visitez le site www.paloaltonetworks.com.
Palo Alto Networks et le logo Palo Alto Networks sont des marques commerciales de Palo Alto Networks, Inc. aux États-Unis et dans d'autres juridictions à travers le monde. Tous les autres noms commerciaux, marques commerciales ou marques de services utilisés ou mentionnés dans le présent communiqué appartiennent à leurs propriétaires respectifs.
Share this article