Palo Alto Networks ontdekt achterdeur in Android-apparaten verkocht door Coolpad
-- "CoolReaper" heeft mogelijk gevolgen voor 24 Android-telefoonmodellen en ruim 10 miljoen gebruikers
AMSTERDAM, 17 december 2014 /PRNewswire/ – Palo Alto Networks® (NYSE: PANW), marktleider op het gebied van enterprise security, kondigt vandaag een achterdeur in miljoenen mobiele Android-apparaten aan, verkocht door Coolpad, een van de grootste smartphonefabrikanten ter wereld, gevestigd in China. Deze achterdeur, genaamd "CoolReaper", stelt gebruikers bloot aan potentiële schadelijke activiteiten en lijkt door Coolpad zelf te zijn geïnstalleerd en te worden onderhouden, ondanks bezwaren van klanten.
Logo - http://photos.prnewswire.com/prnh/20130508/SF04701LOGO
Het is gebruikelijk dat fabrikanten software installeren bovenop het Android-systeem van Google, om zo extra functionaliteiten en aanpassingsmogelijkheden toe te voegen aan de apparaten, en sommige mobiele providers installeren toepassingen die data verzamelen over de prestaties van het apparaat. Uit de analyse van Unit 42, het threat intelligence-team van Palo Alto Networks, blijkt dat CoolReaper veel verder gaat dan alleen het verzamelen van basisdata over het gebruik; het is een flinke achterdeur voor Coolpad-apparaten. Coolpad lijkt ook een versie van Android OS zodanig te hebben aangepast dat het voor antivirusprogramma's veel moeilijker is om de achterdeur te ontdekken.
CoolReaper is ontdekt door Palo Alto Networks-onderzoeker Claud Xiao en is aangetroffen op 24 telefoonmodellen verkocht door Coolpad. Dit betekent, op basis van vrij toegankelijke verkoopinformatie over Coolpad-apparaten, dat er hierdoor mogelijk meer dan 10 miljoen gebruikers worden getroffen.
CITAAT:
- "Het is gebruikelijk dat Android-fabrikanten op hun apparaten vooraf software installeren die extra functies oplevert en die toepassingen up-to-date houdt. Maar de CoolReaper uit dit rapport gaat veel verder dan wat je als gebruiker kunt verwachten. Coolpad krijgt hiermee de complete controle over de getroffen apparaten, het verstopt de software voor antivirusprogramma's en het stelt gebruikers zonder bescherming bloot aan kwaadwillende aanvallers. We doen een dringend beroep op Coolpad-gebruikers om hun apparaat te controleren op de aanwezigheid van CoolReaper en om maatregelen te nemen zodat hun gegevens worden beschermd."
– Ryan Olson, Intelligence Director van Unit 42 bij Palo Alto Networks
CoolReaper: achtergrondinformatie en effecten
Het complete overzicht van bevindingen rondom CoolReaper is vandaag gepubliceerd in "CoolReaper: The Coolpad Backdoor", een nieuw rapport van Unit 42, geschreven door Claud Xiao en Ryan Olson. In dit rapport heeft Palo Alto Networks ook een lijst van bestanden gepubliceerd. Wanneer deze bestanden op een Coolpad-apparaat aanwezig zijn, kan dit duiden op de aanwezigheid van CoolReaper.
Onderzoekers hebben ontdekt dat CoolReaper de onderstaande activiteiten kan uitvoeren, die allemaal een risico inhouden voor gevoelige gebruikers- of bedrijfsdata. Daarnaast zouden kwaadwillenden aan de haal kunnen gaan met een beveiligingsprobleem in het backend-besturingssysteem van CoolReaper.
CoolReaper kan:
- elke Android-toepassing downloaden, installeren of activeren zonder dat de gebruiker hier toestemming voor geeft, of hier überhaupt weet van heeft;
- gebruikersgegevens verwijderen, bestaande toepassingen verwijderen of systeemtoepassingen uitschakelen;
- bij de gebruiker melding maken van een neppe over-the-air (OTA) update die het apparaat niet bijwerkt, maar wel ongewenste toepassingen installeert;
- willekeurige SMS- of MMS-berichten naar de telefoon sturen of erin programmeren;
- willekeurige nummers bellen;
- informatie over het apparaat, de locatie, het gebruik van toepassingen, gesprekken en de SMS-geschiedenis uploaden naar een Coolpad-server.
Verantwoording Coolpad
Unit 42 is begonnen met het observeren van de CoolReaper na diverse klachten van Coolpad-klanten in China op internetfora. In november ontdekte een onderzoeker bij Wooyun.org een beveiligingsprobleem in het backend-besturingssysteem van CoolReaper; dit maakte duidelijk dat Coolpad zelf de achterdeur in de software openhoudt. Daarnaast publiceerde ook Aqniu.com, een Chinese nieuwssite, op 20 november 2014 informatie over het bestaan en het misbruik van de achterdeur.
Tot aan 17 december 2014 heeft Coolpad nog niet gereageerd op hulpverzoeken van Palo Alto Networks. Het Android Security Team van Google heeft de gegevens in dit rapport ook ter beschikking gekregen.
Bescherming voor gebruikers
Alle bekende verschijningsvormen van CoolReaper zijn als 'kwaadaardig' gemarkeerd in WildFire™, een belangrijk onderdeel van de threat intelligence-cloud van Palo Alto Networks. Hierin wordt bepaald hoe gevaarlijk toepassingen zijn door ze uit te voeren in een virtuele omgeving en door ze automatisch te delen met Palo Alto Networks GlobalProtect, om zo te bepalen welke apparaten er zijn getroffen.
Daarnaast zijn alle bekende Command & Control-URL's die CoolReaper gebruikt gemarkeerd als 'kwaadaardig' in de Threat Prevention-producten van Palo Alto Networks. Zo kunnen klanten het uitlezen van data voorkomen, zelfs als de Command & Control-servers of de URL's veranderen.
Palo Alto Networks heeft ook signatures beschikbaar gesteld om kwaadaardig Command & Control-verkeer van CoolReaper te kunnen herkennen en te blokkeren. Deze signatures blijven ook werken als de Command & Control-server van locatie verandert.
De bevindingen rondom CoolReaper laten ook opnieuw zien dat er een allesomvattende mobiele beveiliging nodig is, via een combinatie van toezicht op het dataverkeer en threat intelligence voor het herkennen en blokkeren van gevaarlijke toepassingen. GlobalProtect van Palo Alto Networks beschermt organisaties tegen geavanceerde cyberbedreigingen, inclusief de mogelijkheid om continu mobiele inhoud te controleren op verborgen of kwaadaardige activiteiten.
Meer informatie
- Download Cool Reaper: The Coolpad Backdoor: https://www.paloaltonetworks.com/resources/research/cool-reaper.html
- Bezoek het Unit 42 Research Center voor nieuwe onderzoeken, updates en informatie over lezingen: https://www.paloaltonetworks.com/threat-research.html
- Abonneer u op het Unit 42-blog en lees regelmatig over nieuwe onderzoeken en analyses: http://researchcenter.paloaltonetworks.com/unit42/
- Lees meer over het enterprise security-platform van Palo Alto Networks en over de manieren waarop het bescherming biedt tegen CoolReaper: https://www.paloaltonetworks.com/products/platforms.html
Over Unit 42
Unit 42, het threat intelligence-team van Palo Alto Networks, bestaat uit ervaren cyberbeveiligingsonderzoekers en uit experts in de branche. Unit 42 verzamelt, onderzoekt en analyseert de allernieuwste threat intelligence en deelt inzichten met klanten en partners van Palo Alto Networks en met de bredere gemeenschap, om organisaties zodoende beter te kunnen beveiligen. Vooraanstaande personen binnen het team geven regelmatig lezingen bij brancheconferenties over de hele wereld.
Over Palo Alto Networks
Palo Alto Networks loopt voorop in een nieuw tijdperk van cyber security door bescherming te bieden aan duizenden bedrijven, overheden en serviceproviders tegen cyberaanvallen. In tegenstelling tot bestaande deelproducten zorgt het next-generation security-platform van Palo Alto Networks voor het op een veilige manier uitvoeren van bedrijfsprocessen, terwijl het tegelijkertijd bescherming biedt voor essentiële factoren van hedendaagse dynamische computeromgevingen: applicaties, eindgebruikers en content. Meer informatie is te vinden op https://www.paloaltonetworks.com/
Palo Alto Networks en het Palo Alto Networks logo zijn handelsmerken van Palo Alto Networks, Inc in de Verenigde Staten en in rechtsgebieden over de hele wereld. Alle andere handelsmerken, handelsnamen of servicemerken gebruikt of genoemd hierin zijn eigendom van hun respectieve eigenaars.
Related Links
http://www.paloaltonetworks.com
WANT YOUR COMPANY'S NEWS FEATURED ON PRNEWSWIRE.COM?
Newsrooms &
Influencers
Digital Media
Outlets
Journalists
Opted In
Share this article