后门程序 “CoolReaper” 可能影响的安卓手机型号多达24款，影响用户超过1千万。

企业安全领域引领者Palo Alto Networks®（纽约证券交易所：PANW）近日披露一个后门程序的细节。该后门程序包含在全球最大的智能手机制造商之一——酷派集团(Coolpad)* 所出售的数以百万计的酷派系列移动设备中。该后门程序名为“CoolReaper”，可在潜在的恶意活动中暴露用户信息。酷派不顾用户反对，似乎已安装并维护着该后门程序。

通常情况下，移动设备制造商在谷歌安卓移动操作系统上安装软件可以为安卓设备提供更多的功能和定制化服务，同时一些移动运营商也会安装某些应用程序用来搜集设备性能数据。Palo Alto Networks威胁情报团队Unit 42 对此进行了详细分析，CoolReaper作为一个真正的后台程序植入酷派系列设备中除了搜集基本使用数据之外，似乎也进行着其他动作。此外，酷派似乎已对安卓操作系统版本进行了修改，以防止反病毒程序检测到此后门程序。

Palo Alto Networks研究员Claud Xiao在出售的24款酷派手机中发现了CoolReaper，这意味着根据公开的酷派系列的销售信息，将有超过1千万的用户受到影响。

引用

“我们期望使用安卓系统的移动设备制造商在设备上预先安装的软件以提供所需功能并保持他们的应用程序及时更新。但是本报告中披露的CoolReaper后门程序细节则远远超出了用户可能的预期，使得受到影响的酷派系列终端可以完全被远程控制，隐藏该软件不被反病毒程序发现，同时使用户置于恶意攻击中。我们非常希望可能受到CoolReaper影响的数百万酷派系列终端用户检测他们所购买的设备是否存在后门程序，并采取措施保护他们的数据安全。”

——Palo Alto Networks Unit 42 情报总监 Ryan Olson

CoolReaper的背景信息及其影响

CoolReaper相关的完整的调查结果已刊登在近日出版的《CoolReaper：酷派中的后门程序》的报告中，该报告由Palo Alto Networks威胁情报团队Unit 42 的Claud Xiao 和 Ryan Olson撰写。在该报告中，Palo Alto Networks还公布了一份文件列表以核对那些有可能存在CoolReaper后门程序的酷派系列移动设备。

正如研究人员发现的那样，CoolReaper可以执行下列任务，其中的任何一项都有可能使企业和用户的敏感数据面临风险。此外， 恶意攻击者也有可能利用CoolReaper的后端控制系统中的漏洞。

CoolReaper功能

• 未经用户同意或未通知客户的情况下，进行下载、安装或激活任一安卓应用程序
• 清除用户数据，卸载现有应用程序或使系统应用程序失效
• 通知用户一个虚假的设备更新信息，安装不需要的应用程序
• 随意给手机发送或插入短信或彩信
• 拨打任意电话号码
• 上传设备信息、位置、应用程序的使用信息、通话和短信历史记录到酷派服务器

酷派(Coolpad)确认情况

Unit 42威胁情报团队开始关注CoolReaper后门程序，源于网络留言版上张贴的酷派(CoolPad)客户投诉信息。11月份，乌云网 (wooyun.org) 的一位研究人员发现了用于CoolReaper的后端控制系统中存在漏洞，从而查明了酷派系列设备如何实现在软件中控制后门程序。此外，中文新闻网站安全牛www.aqniu.com 曾在2014年11月20日的一篇文章里对该后门存在的具体细节进行了报道并列出了其滥用情况。

截止到2014年12月17日，酷派 (Coolpad) 并未对Palo Alto Networks多次提出的帮助请求予以回复。Palo Alto Networks已经向谷歌安卓安全小组 (Google Android Security Team) 提供了本报告中的数据。

保护用户

CoolReaper已被Palo Alto Networks 威胁情报云的重要组件 WildFire™标记为恶意程序。Palo Alto 威胁情报云可在虚拟环境中运行，能够从应用中甄别威胁并自动将其传送至Palo Alto Networks GlobalProtect 以确认受此影响的设备。

此外，在Palo Alto Networks 威胁防护产品中，所有已知的被CoolReaper使用过的命令和控制(C&C) URL都被认定为恶意，允许用户即使在命令和控制服务器或URL变更的情况下，防止数据渗漏。

同时，Palo Alto Networks 还提供了命令和控制 (C&C) 的签名，可对恶意的CoolReaper 命令和控制流量进行探测和拦截，即使命令和控制(C&C)服务器改变位置该功能仍然有效。

CoolReaper后门程序的发现，进一步强化了对全面移动安全方案的需求，它将流量检测与威胁情报相结合，用于检测并防范危险应用程序。Palo Alto Networks的GlobalProtect技术能够保护组织机构远离高级网络威胁，能够持续分析移动（数据）内容发现其中隐藏的或恶意的活动。