Palo Alto Networks upptäcker bakdörr i Androidmobiler

“CoolReaper” kan påverka 24 mobilmodeller med över 10 miljoner användare av Coolpadmobiler

Stockholm 2014-12-17. Palo Alto Networks® (NYSE: PANW), specialister på nätverkssäkerhet för företag, kan nu berätta detaljerna om en bakdörr som finns i miljoner Androidmobiler som sålts av kinesiska Coolpad, en av världens största smartphonetillverkare. Bakdörren kallas “CoolReaper,” och öppnar mobilerna så att användare bland annat kan drabbas av skadlig programvara. Bakdörren verkar ha installerats av Coolpad själva, trots att kunder protesterat.  

Det är vanligt att mobiltillverkare installerar programvara ovanpå Googles Androidsystem, för att på så sätt ge fler funktioner och anpassa Androidmobilerna. En del mobiloperatörer installerar också applikationer som samlar data om hur mobilerna fungerar. Unit 42, som är en grupp på Palo Alto Networks som letar upp olika former av säkerhetshot, märkte att CoolReaper samlar data om hur mobilerna används och dessutom kan användas som en bakdörr till mobilerna. Coolpad verkar också ha modifierat Android OS för att göra det mycket svårare för antivirusprogram att upptäcka bakdörren. 

CoolReaper upptäcktes av Palo Alto Networks Claud Xiao och har nu identifierats på 24 mobilmodeller som säljs av Coolpad, vilket innebär att detta enligt Coolpads egna försäljningssiffror potentiellt kan påverka 10 miljoner användare.

“Vi förväntar oss att tillverkare av Androidmobiler förinstallerar programvara för att ge kunderna extra funktioner och hålla mobilerna uppdaterade. Men den bakdörr, CoolReaper, som presenteras nu går väl utöver detta och ger Coolpad fullständig kontroll över mobilerna. Användarna har inget skydd mot attacker. Vi uppmanar de som använder Coolpad att undersöka om deras mobiler har bakdörren, och se till att deras data är skyddad, säger Ryan Olson, Intelligence Director, Unit 42, Palo Alto Networks

Bakgrunden till CoolReaper

Mer information om CoolReaper publicerades idag i rapporten CoolReaper: The Coolpad Backdoor, som satts samman av Claud Xiao och Ryan Olson från Unit 42 på Palo Alto Networks. I rapporten finns också en lista på filer som man bör leta efter om man har en Coolpadmobil. Dessa filer kan indikera att CoolReaper-bakdörren finns på enheten.

CoolReaper kan utföra en rad uppgifter som kan utsätta användare och företag för risker. Dessutom kan attacker utnyttja sårbarheten som finns i CoolReapers kontrollsystem.

CoolReaper kan:

• Ladda ner, installera och aktivera vilken Androidapp som helst, utan att användaren behöver godkänna detta eller får något meddelande.
• Radera användardata, avinstallera existerande appar och avaktivera systemfunktioner.
• Uppmana användare att ladda ner en falsk uppdatering som i själva verket inte uppdaterar mobilen, utan i stället installerar oönskade appar. 
• Sända eller lägga in SMS- och MMS-meddelanden i mobilen. 
• Ringa telefonnummer.
• Ladda upp information om mobilen, dess position, appanvändande, telefonlogg och SMS-historia till en Coolpadserver.

Coolpads reaktion

Unit 42 påbörjade undersöka CoolReaper efter att flera klagomål från Coolpadkunder i Kina publicerats på nätforum.  I november identifierade Wooyun.org en sårbarhet i kontrollsystemet för CoolReaper, vilket visade hur Coolpad själva kontrollerar bakdörren i programvaran. Dessutom rapporterade en kinesisk nyhetssajt, Aqniu.com, några detaljer om bakdörren i en artikel den 20 november. 

Coolpad har trots ett flertal förfrågningar inte svarat Palo Alto Networks. Google Androids säkerhetsgrupp har fått den data som finns i rapporten.

Mer information:

• Download CoolReaper: The Coolpad Backdoor: https://www.paloaltonetworks.com/resources/research/cool-reaper.html
• Läs mer på Unit 42, Palo Alto Networks grupp som tar fram kunskap om hot. Nya analyser och uppdateringar finns här: https://www.paloaltonetworks.com/threat-research.html
• Prenumerera på nya analyser från Unit 42:s blogg: http://researchcenter.paloaltonetworks.com/unit42/
• Läs mer om Palo Alto Networks säkerhetsplattform för företagsnätverk, och hur den skyddar mot CoolReaper: https://www.paloaltonetworks.com/products/platforms.html

För mer information, kontakta: 
Anders Teigen, Palo Alto Networks, tel. + 47 45 42 60 70, ateigen@paloaltonetworks.com
Michael Falk, Agera PR, tel. 073- 397 46 55, michael.falk@agerapr.se

Om Palo Alto Networks

Palo Alto Networks är ledande inom en helt ny typ av cybersäkerhet och skyddar idag tusentals nätverk hos företag, myndigheter och service providers. Palo Alto Networks säkerhetsplattform skiljer sig från tidigare best-of-breed- och punktsäkerhetslösningar genom att utgå från de viktigaste faktorerna för att kunna ge ett effektivt skydd i dagens dynamiska IT-miljö: applikationer, användare och innehåll. Läs mer på www.paloaltonetworks.com

Palo Alto Networks and the Palo Alto Networks Logo are trademarks of Palo Alto Networks, Inc. in the United States and in jurisdictions throughout the world. All other trademarks, trade names or service marks used or mentioned herein belong to their respective owners.

Taggar: