Es ist üblich, dass Gerätehersteller auf Googles Android-Smartphone-Betriebssystem eigene Software "on top" installieren, um zusätzliche Funktionen bereitzustellen und Anpassungsmaßnahmen vorzunehmen. Einige Mobilfunkbetreiber installieren auch Anwendungen, um Daten über die Performance des Geräts zu sammeln. Nach eingehender Analyse durch Unit 42, das Analyse-Team von Palo Alto Networks, geht CoolReaper aber weit über die Sammlung von Grundnutzungsdaten hinaus. Die Software fungiert als eine echte Hintertür für den heimlichen Zugang in Coolpad-Geräte. Coolpad scheint auch eine Version des Android-Betriebssystems geändert haben, um es Antivirus-Programme zu erschweren, die Hintertür zu erkennen.

CoolReaper, entdeckt von Claud Xiao, IT-Sicherheitsforscher bei Palo Alto Networks, wurde auf 24 Handymodellen, die von Coolpad verkauft wurden, identifiziert. Daraus resultiert eine mögliche Gefährdung von über 10 Millionen Nutzer, wenn man öffentlich erhältliche Informationen von Coolpad zugrundelegt.

"Wir gehen davon aus, dass Android-Hersteller in der Regel Software auf Geräten vorinstallieren, die Funktionen bereitstellen und Anwendungen auf dem neuesten Stand halten. Aber die CoolReaper-Hintertür geht weit darüber hinaus. Coolpad hat vollständige Kontrolle über die betroffenen Geräte, behindert die Software von Antivirus-Programmen liefert Benutzer ungeschützt möglicherweise böswilligen Akteuren aus. Wir fordern die Millionen von Coolpad-Benutzern auf, die von CoolReaper betroffen sein könnten, ihre Geräte hinsichtlich dieser Hintertür zu überprüfen und Maßnahmen zu ergreifen, um ihre Daten zu schützen", erklärte Ryan Olson, Intelligence Director, Unit 42, Palo Alto Networks.

Hintergründe und Auswirkungen von CoolReaper

Die vollständigen Ergebnisse zu CoolReaper wird heute der Report "CoolReaper: The Coolpad Backdoor [https://www.paloaltonetworks.com/resources/research/cool-reaper.html]", ein neuer Bericht von Unit 42, verfasst von Claud Xiao und Ryan Olson, veröffentlicht. In der Analyse hat Palo Alto Networks auch eine Liste von Dateien veröffentlicht, die auf die CoolReaper-Hintertür in Coolpad-Geräten hinweisen.

Wie die Forscher festgestellt haben, kann CoolReaper jede der folgenden Aufgaben ausführen, wodurch sensible Benutzer- oder Unternehmensdaten gefährdet werden könnten. Darüber hinaus könnten Angreifer eine Schwachstelle ausnutzen, die im Backend-Steuerungssystem von CoolReaper gefunden wurde.

CoolReaper kann:

• eine Android-Anwendung ohne Einwilligung oder Benachrichtigung des Nutzers herunterladen, installieren oder aktivieren.
•  Benutzerdaten löschen, vorhandene Anwendungen deinstallieren oder Systemanwendungen deaktivieren.
• Benutzer über ein gefälschtes Over-the-Air (OTA) Update informieren, das das Gerät nicht aktualisiert, sondern unerwünschte Anwendungen installiert.
• beliebige SMS oder MMS versenden oder hinzufügen.
• beliebige Telefonnummern wählen.
•  Informationen über Gerät, Standort, Anwendungsnutzung, Anrufe und SMS-Historie zu einem Coolpad-Server hochladen.

Wie Coolpad ans Tageslicht kam

Unit 42 begann mit der Beobachtung von dem, was später als CoolReaper bekannt wurde, nach zahlreichen Beschwerden von Coolpad-Kunden in China auf Internet Message Boards. Im November hat ein Forscher, der mit Wooyun.org zusammenarbeitet, eine Schwachstelle im Backend-Steuerungssystem für CoolReaper identifiziert. Dies machte deutlich, wie Coolpad selbst die Hintertür in der Software steuert. Zusätzlich berichtete die chinesische News-Website Aqniu.com in einem Artikel vom 20. November 2014 über einige Details zur Existenz dieser Hintertür und deren Missbrauch.

Seit 17. Dezember 2014 hat Coolpad nicht mehr auf Hilfeersuchen von Palo Alto Networks reagiert. Dem Android Security Team von Google wurden auch die im Bericht enthaltenen Daten zur Verfügung gestellt.

Schutz der Nutzer

Alle bekannten Samples von CoolReaper wurden in WildFire(TM) [https://www.paloaltonetworks.de/products/technologies/wildfire.html] als schädlich markiert. WildFire bildet eine Schlüsselkomponente der Threat Intelligence Cloud von Palo Alto Networks. Diese dient der Identifizierung von Bedrohungen durch verdächtige Anwendungen, indem diese in einer virtuellen Umgebung ausgeführt werden und automatisch Palo Alto Networks GlobalProtect [https://www.paloaltonetworks.de/products/technologies/globalprotect.html] mitgeteilt werden, um betroffene Geräte zu erfassen.

Darüber hinaus werden alle bekannten Command & Control-URLs, die von CoolReaper verwendet wurden, in den Threat-Prevention-Produkten von Palo Alto Networks als schädlich identifiziert. Dadurch können Kunden das Herausfiltern von Daten verhindern, auch wenn sich die Command & Control-Server oder URLs ändern.

Palo Alto Networks hat auch Signaturen zur Verfügung gestellt, um bösartigen Command & Control Traffic von CoolReaper zu erkennen und zu blockieren. Diese sind auch wirksam, wenn der Command & Control Server seinen Standort wechselt.

Die Erkenntnisse zu CoolReaper bekräftigen erneut den Bedarf für umfassende mobile Sicherheit mit einer Kombination von Traffic-Inspektion zusammen mit Bedrohungsanalyse zur Erkennung und auch Verhinderung von gefährlichen Anwendungen. GlobalProtect von Palo Alto Networks bietet Unternehmen Schutz vor erweiterten Online-Bedrohungen, einschließlich der Fähigkeit, mobile Inhalte auf verdeckte oder bösartige Aktivitäten hin kontinuierlich zu analysieren.

Quelle: Palo Alto Networks (ots)