企业安全领域引领者 Palo Alto Networks®（纽约证券交易所：PANW）近日披露一个后门程序的细节。该后门程序包含在全球最大的智能手机制造商之一 -- 中国酷派集团 (Coolpad) 所出售的数以百万计的酷派系列移动设备中。该后门程序名为“CoolReaper”，可在潜在的恶意活动中暴露用户信息。酷派不顾用户反对，似乎已安装并维护着该后门程序。

    通常情况下，移动设备制造商在谷歌安卓移动操作系统上安装软件可以为安卓设备提供更多的功能和定制化服务，同时一些移动运营商也会安装某些应用程序用来搜集设备性能数据。Palo Alto Networks 威胁情报团队 Unit 42 对此进行了详细分析，CoolReaper 作为一个真正的后台程序植入酷派系列设备中除了搜集基本使用数据之外，似乎也进行着其他动作。此外，酷派似乎已对安卓操作系统版本进行了修改，以防止反病毒程序检测到此后门程序。

    Palo Alto Networks 研究员 Claud Xiao 在出售的24款酷派手机中发现了 CoolReaper，这意味着根据公开的酷派系列的销售信息，将有超过1千万的用户受到影响。

引用：

• “我们期望使用安卓系统的移动设备制造商在设备上预先安装的软件以提供所需功能并保持他们的应用程序及时更新。但是本报告中披露的CoolReaper 后门程序细节则远远超出了用户可能的预期，使得受到影响的酷派系列终端可以完全被远程控制，隐藏该软件不被反病毒程序发现，同时使用户置于恶意攻击中。我们非常希望可能受到CoolReaper 影响的数百万酷派系列终端用户检测他们所购买的设备是否存在后门程序，并采取措施保护他们的数据安全。”

      --  Palo Alto Networks Unit 42 情报总监 Ryan Olson

CoolReaper 的背景信息及其影响

    CoolReaper 相关的完整的调查结果已刊登在近日出版的 《CoolReaper：酷派中的后门程序》 的报告中，该报告由 Palo Alto Networks 威胁情报团队 Unit 42 的 Claud Xiao 和 Ryan Olson 撰写。在该报告中，Palo Alto Networks 还公布了一份文件列表以核对那些有可能存在 CoolReaper 后门程序的酷派系列移动设备。

    正如研究人员发现的那样，CoolReaper 可以执行下列任务，其中的任何一项都有可能使企业和用户的敏感数据面临风险。此外，恶意攻击者也有可能利用 CoolReaper 的后端控制系统中的漏洞。

CoolReaper 功能：

• 未经用户同意或未通知客户的情况下，进行下载、安装或激活任一安卓应用程序
• 清除用户数据，卸载现有应用程序或使系统应用程序失效
• 通知用户一个虚假的设备更新信息，安装不需要的应用程序
• 随意给手机发送或插入短信或彩信
• 拨打任意电话号码
• 上传设备信息、位置、应用程序的使用信息、通话和短信历史记录到酷派服务器

酷派(Coolpad) 确认情况

    Unit 42 威胁情报团队开始关注CoolReaper 后门程序，源于网络留言版上张贴的酷派(CoolPad) 客户投诉信息。11月份，乌云网(wooyun.org) 的一位研究人员发现了用于CoolReaper 的后端控制系统中存在漏洞，从而查明了酷派系列设备如何实现在软件中控制后门程序。此外，中文新闻网站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里对该后门存在的具体细节进行了报道并列出了其滥用情况。

    截止到2014年12月17日，酷派(Coolpad) 并未对Palo Alto Networks 多次提出的帮助请求予以回复。Palo Alto Networks 已经向谷歌安卓安全小组(Google Android Security Team) 提供了本报告中的数据。

保护用户

    CoolReaper 已被 Palo Alto Networks 威胁情报云的重要组件 WildFire™ 标记为恶意程序。Palo Alto  威胁情报云可在虚拟环境中运行，能够从应用中甄别威胁并自动将其传送至 Palo Alto Networks GlobalProtect 以确认受此影响的设备。

    此外，在 Palo Alto Networks 威胁防护产品中，所有已知的被 CoolReaper 使用过的命令和控制 (C&C) URL 都被认定为恶意，允许用户即使在命令和控制服务器或URL变更的情况下，防止数据渗漏。

    同时，Palo Alto Networks 还提供了命令和控制 (C&C) 的签名，可对恶意的 CoolReaper 命令和控制流量进行探测和拦截，即使命令和控制 (C&C) 服务器改变位置该功能仍然有效。

    CoolReaper 后门程序的发现，进一步强化了对全面移动安全方案的需求，它将流量检测与威胁情报相结合，用于检测并防范危险应用程序。Palo Alto Networks 的 GlobalProtect 技术能够保护组织机构远离高级网络威胁，能够持续分析移动（数据）内容发现其中隐藏的或恶意的活动。

要了解更多信息：

• 登录https://www.paloaltonetworks.com/resources/research/cool-reaper.html下载CoolReaper报告：酷派中的后门程序。
• 欲了解Palo Alto Networks 威胁情报团队有关新研究、更新及已确认的演讲，请访问https://www.paloaltonetworks.com/threat-research.html。
• 订阅常年研发及分析，请访问Unit 42 博文: http://researchcenter.paloaltonetworks.com/unit42/。
• 欲了解Palo Alto Networks 企业安全平台以及其如何向CoolReaper 提供安全，请访问  https://www.paloaltonetworks.com/products/platforms.html。
• 欲解决您最严峻的挑战，敬请参加将于2015年3月30日-4月1日在拉斯维加斯举办的Ignite 2015，Unit 42 团队工程师恭候您的大驾光临。点击https://ignite2015.paloaltonetworks.com/portal/createAccount.ww 进行注册，您便可携手Palo Alto Networks。

关于 Unit 42

    Unit 42 是 Palo Alto Networks 的威胁情报团队，它由高级网络安全研究员与业界专家组成。Unit 42 收集、研究并分析最新威胁情报，与 Palo Alto Networks 客户、合作伙伴及更广泛的社区分享其见解，实现更好地保护组织机构的目标。Unit 42 团队定期参加全球行业大会。

关于 PALO ALTO NETWORKS

    Palo Alto Networks 正在引领网络安全的新时代，可保护成千上万的企业、政府机构和服务提供商网络免受网络威胁。与分散的传统产品不同，我们的安全平台可确保企业安全营运，并根据当今动态计算环境中最重要的元素提供相应保护：应用程序、用户和内容。访问 www.paloaltonetworks.com 可了解更多详细信息。

    Palo Alto Networks 及 Palo Alto Networks 徽标是 Palo Alto Networks, Inc. 在美国及全球行政辖区的商标。 这里使用或提到的所有其他商标、商号或服务商标均归其相应所有者所有。