(ots) - Palo Alto Networks gibt heute Details
über eine Backdoor-Malware bekannt, die Millionen von
Android-basierten mobilen Geräten gefährdet. Gefährdet sind Geräte
von dem chinesischen Anbieter Coolpad, dem weltweit sechstgrößten
Smartphone-Hersteller. Die Hintertür mit dem Namen "CoolReaper" setzt
Benutzer potenziell schädlichen Aktivitäten aus und wurde
offensichtlich durch Coolpad trotz der Einwände von Kunden
installiert.
Logo - http://photos.prnewswire.com/prnh/20130508/SF04701LOGO
[http://photos.prnewswire.com/prnh/20130508/SF04701LOGO]
Es ist üblich, dass Gerätehersteller auf Googles
Android-Smartphone-Betriebssystem eigene Software "on top"
installieren, um zusätzliche Funktionen bereitzustellen und
Anpassungsmaßnahmen vorzunehmen. Einige Mobilfunkbetreiber
installieren auch Anwendungen, um Daten über die Performance des
Geräts zu sammeln. Nach eingehender Analyse durch Unit 42, das
Analyse-Team von Palo Alto Networks, geht CoolReaper aber weit über
die Sammlung von Grundnutzungsdaten hinaus. Die Software fungiert als
eine echte Hintertür für den heimlichen Zugang in Coolpad-Geräte.
Coolpad scheint auch eine Version des Android-Betriebssystems
geändert haben, um es Antivirus-Programme zu erschweren, die
Hintertür zu erkennen.
CoolReaper, entdeckt von Claud Xiao, IT-Sicherheitsforscher bei
Palo Alto Networks, wurde auf 24 Handymodellen, die von Coolpad
verkauft wurden, identifiziert. Daraus resultiert eine mögliche
Gefährdung von über 10 Millionen Nutzer, wenn man öffentlich
erhältliche Informationen von Coolpad zugrundelegt.
"Wir gehen davon aus, dass Android-Hersteller in der Regel
Software auf Geräten vorinstallieren, die Funktionen bereitstellen
und Anwendungen auf dem neuesten Stand halten. Aber die
CoolReaper-Hintertür geht weit darüber hinaus. Coolpad hat
vollständige Kontrolle über die betroffenen Geräte, behindert die
Software von Antivirus-Programmen liefert Benutzer ungeschützt
möglicherweise böswilligen Akteuren aus. Wir fordern die Millionen
von Coolpad-Benutzern auf, die von CoolReaper betroffen sein könnten,
ihre Geräte hinsichtlich dieser Hintertür zu überprüfen und Maßnahmen
zu ergreifen, um ihre Daten zu schützen", erklärte Ryan Olson,
Intelligence Director, Unit 42, Palo Alto Networks.
Hintergründe und Auswirkungen von CoolReaper
Die vollständigen Ergebnisse zu CoolReaper wird heute der Report
"CoolReaper: The Coolpad Backdoor [https://www.paloaltonetworks.com/r
esources/research/cool-reaper.html]", ein neuer Bericht von Unit 42,
verfasst von Claud Xiao und Ryan Olson, veröffentlicht. In der
Analyse hat Palo Alto Networks auch eine Liste von Dateien
veröffentlicht, die auf die CoolReaper-Hintertür in Coolpad-Geräten
hinweisen.
Wie die Forscher festgestellt haben, kann CoolReaper jede der
folgenden Aufgaben ausführen, wodurch sensible Benutzer- oder
Unternehmensdaten gefährdet werden könnten. Darüber hinaus könnten
Angreifer eine Schwachstelle ausnutzen, die im
Backend-Steuerungssystem von CoolReaper gefunden wurde.
CoolReaper kann:
-- eine Android-Anwendung ohne Einwilligung oder Benachrichtigung des
Nutzers herunterladen, installieren oder aktivieren.
-- Benutzerdaten löschen, vorhandene Anwendungen deinstallieren oder
Systemanwendungen deaktivieren.
-- Benutzer über ein gefälschtes Over-the-Air (OTA) Update informieren,
das das Gerät nicht aktualisiert, sondern unerwünschte Anwendungen
installiert.
-- beliebige SMS oder MMS versenden oder hinzufügen.
-- beliebige Telefonnummern wählen.
-- Informationen über Gerät, Standort, Anwendungsnutzung, Anrufe und
SMS-Historie zu einem Coolpad-Server hochladen.
Wie Coolpad ans Tageslicht kam
Unit 42 begann mit der Beobachtung von dem, was später als
CoolReaper bekannt wurde, nach zahlreichen Beschwerden von
Coolpad-Kunden in China auf Internet Message Boards. Im November hat
ein Forscher, der mit Wooyun.org zusammenarbeitet, eine Schwachstelle
im Backend-Steuerungssystem für CoolReaper identifiziert. Dies machte
deutlich, wie Coolpad selbst die Hintertür in der Software steuert.
Zusätzlich berichtete die chinesische News-Website Aqniu.com in einem
Artikel vom 20. November 2014 über einige Details zur Existenz dieser
Hintertür und deren Missbrauch.
Seit 17. Dezember 2014 hat Coolpad nicht mehr auf Hilfeersuchen
von Palo Alto Networks reagiert. Dem Android Security Team von
Google wurden auch die im Bericht enthaltenen Daten zur Verfügung
gestellt.
Schutz der Nutzer
Alle bekannten Samples von CoolReaper wurden in WildFire(TM)
[https://www.paloaltonetworks.de/products/technologies/wildfire.html]
als schädlich markiert. WildFire bildet eine Schlüsselkomponente der
Threat Intelligence Cloud von Palo Alto Networks. Diese dient der
Identifizierung von Bedrohungen durch verdächtige Anwendungen, indem
diese in einer virtuellen Umgebung ausgeführt werden und automatisch
Palo Alto Networks GlobalProtect [https://www.paloaltonetworks.de/pro
ducts/technologies/globalprotect.html] mitgeteilt werden, um
betroffene Geräte zu erfassen.
Darüber hinaus werden alle bekannten Command & Control-URLs, die
von CoolReaper verwendet wurden, in den Threat-Prevention-Produkten
von Palo Alto Networks als schädlich identifiziert. Dadurch können
Kunden das Herausfiltern von Daten verhindern, auch wenn sich die
Command & Control-Server oder URLs ändern.
Palo Alto Networks hat auch Signaturen zur Verfügung gestellt, um
bösartigen Command & Control Traffic von CoolReaper zu erkennen und
zu blockieren. Diese sind auch wirksam, wenn der Command & Control
Server seinen Standort wechselt.
Die Erkenntnisse zu CoolReaper bekräftigen erneut den Bedarf für
umfassende mobile Sicherheit mit einer Kombination von
Traffic-Inspektion zusammen mit Bedrohungsanalyse zur Erkennung und
auch Verhinderung von gefährlichen Anwendungen. GlobalProtect von
Palo Alto Networks bietet Unternehmen Schutz vor erweiterten
Online-Bedrohungen, einschließlich der Fähigkeit, mobile Inhalte auf
verdeckte oder bösartige Aktivitäten hin kontinuierlich zu
analysieren.
Weitere Informationen
-- Report Download Cool Reaper: The Coolpad Backdoor als
Download:https://www.paloaltonetworks.com/resources/research/cool-reaper
.html
[https://www.paloaltonetworks.com/resources/research/cool-reaper.html]
-- Besuchen Sie die Website des "Unit 42"-Forschungszentrums:
https://www.paloaltonetworks.com/threat-research.html
[https://www.paloaltonetworks.com/threat-research.html]
-- Erhalten Sie regelmäßig Informationen zu Untersuchungen und Analysen
vom Unit 42 Blog: http://researchcenter.paloaltonetworks.com/unit42/
[http://researchcenter.paloaltonetworks.com/unit42/]
-- Erfahren Sie mehr über die Enterprise-Security-Plattform von Palo Alto
Networks und wie sie Schutz bietet vor CoolReaper:
https://www.paloaltonetworks.com/products/platforms.html
[https://www.paloaltonetworks.com/products/platforms.html]
-- Treffen Sie unsere Experten von Unit 42 bei Ignite 2015
[https://www.paloaltonetworks.com/content/campaigns/ignite/2015/index.ht
ml], wo wir tiefe Einblicke in unsere aktuellen Entwicklungen für mehr
IT-Sicherheit geben. Registrieren
[https://ignite2015.paloaltonetworks.com/portal/createAccount.ww] Sie
sich schon jetzt für unsere Veranstaltung Las Vegas vom 30. März bis
1. April 2015.
Über Palo Alto Networks Palo Alto Networks ist das führende
Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen
von Palo Alto Networks sichern die Netzwerke Tausender großer
Unternehmen, Behörden und Service Provider gegen Risiken ab. Im
Gegensatz zu fragmentierten Legacy-Lösungen ist die
Security-Plattform von Palo Alto Networks in der Lage, den
Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme
basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am
wichtigsten ist: Anwendungen, Nutzer und Inhalte. Weitere
Informationen unter http://www.paloaltonetworks.com
[http://www.paloaltonetworks.com/].
Ãœber Unit 42 Unit 42, das Bedrohungsanalayse-Team von Palo Alto
Networks, setzt sich zusammen aus versierten Cyber-Forschern und
Branchenexperten. Unit 42 sammelt, erforscht und analysiert
minutenaktuell Bedrohungen und teilt seine Erkenntnisse mit Kunden,
Partnern und der breiteren Community von Palo Alto Networks, um
Unternehmen und Institutionen besser zu schützen. Das Führungsteam
von Unit 42 ist regelmäßig auf Konferenzen auf der ganzen Welt
präsent.
Web site: http://www.paloaltonetworks.com/
Pressekontakt:
KONTAKT: Palo Alto Networks: Julia André,
jandre(at)paloaltonetworks.com ; tech2com UG, Philipp Haberland, Mobil:
0163
2722 363, p.haberland(at)tech2com.de