A Palo Alto Networks revelou detalhes sobre um backdoor presente em milhões de dispositivos móveis com sistema Android vendidos pela Coolpad, uma das maiores fabricantes mundiais de smartphones localizada na China. O backdoor, chamado de “CoolReaper”, expõe usuários a atividades maliciosas e aparentemente foi instalado e mantido apesar das objeções de clientes da Coolpad.
É comum fabricantes de dispositivos instalarem um software em aparelhos com sistema Google Android para operar funcionalidades adicionais de customização do dispositivo. Além disso, algumas operadoras de telefonia móvel instalam aplicativos que coletam dados sobre o desempenho do dispositivo.
Segundo a análise detalhada da Unit 42, equipe de inteligência de ameaças da Palo Alto Networks, o CoolReaper aparenta funcionar muito além da coleta de dados básicos de uso, tornando-se um um verdadeiro backdoor em dispositivos Coolpad. A Coolpad também parece ter modificado a versão do sistema operacional Android para tornar muito mais difícil a detecção do backdoor por programas de antivírus.
“Nós esperamos que os fabricantes que utilizam Android pré-instalem softwares que fornecem recursos para manter seus aplicativos atualizados, mas o backdoor CoolReaper, detalhado neste relatório, vai muito além do que os usuários podem esperar, dando à Coolpad controle completo sobre os dispositivos afetados, escondendo o software a partir de programas de antivírus, e deixando os usuários sem proteção contra ataques maliciosos. Recomendamos aos milhões de usuários Coolpad que podem ter sido impactados pelo CoolReaper que inspecionem seus dispositivos sobre a presença do backdoor e tomem medidas para proteger seus dados.”, afirma Ryan Olson, diretor de inteligência da Unit 42 da Palo Alto Networks.
O CoolReaper, descoberto por Claud Xiao, pesquisador da Palo Alto Networks, foi identificado em 24 modelos de telefones celulares vendidos pela Coolpad, podendo impactar mais de 10 milhões de usuários – dado embasado em informações públicas de vendas da Coolpad.
Histórico e efeitos do CoolReaper
Todas as descobertas relacionadas ao CoolReaper foram publicadas no “CoolReaper: The Coolpad Backdoor,” novo relatório da Unit 42 escrito por Claud Xiao e Ryan Olson. No documento, a Palo Alto Networks publica também uma lista de arquivos para serem checados nos dispositivos Coolpad que pode indicar a presença de um backdoor CoolReaper no aparelho.
Como observado pelos pesquisadores, o CoolReaper pode operar cada uma das tarefas abaixo e qualquer uma delas pode colocar informações sensíveis de usuários ou corporações em risco. Além disso, invasores maliciosos podem explorar a vulnerabilidade achada no sistema de controle back-end do CoolReaper:
O CoolReaper pode:
Baixar, instalar ou ativar qualquer aplicativo Android sem a permissão do usuário ou notificação.
Apagar dados do usuário, desinstalar aplicativos existentes ou desabilitar sistemas de aplicativos.
Notificar usuários sobre falsas atualizações over-the-air (OTA) que, se aceitas, instalam aplicativos indesejados.
Enviar ou inserir mensagens SMS ou MMS arbitrárias no telefone.
Ligar para números de telefones arbitrários.
Subir informações sobre o dispositivo, sua localização, seu uso, enviar o histórico de ligações e SMS para um servidor Coolpad.
Reconhecimento da Coolpad
A Unit 42 começou a observar o que veio a ser conhecido como CoolReaper seguindo as numerosas reclamações postadas por clientes Coolpad na China na Internet. Em novembro, um pesquisador trabalhando com a organização Wooyun identificou a vulnerabilidade no sistema de controle back-end para CoolReaper, o que tornou claro como a própria Coolpad controla o backdoor do software. Além disso, o portal de notícias Aqniu.com divulgou, em 20 de novembro de 2014, um artigo com detalhes da existência do backdoor e seus comportamentos maliciosos.
Até 17 de dezembro de 2014, a Coolpad não respondeu a nenhum dos diversos pedidos de assistência enviados pela Palo Alto Networks, que também forneceu o conteúdo do relatório à equipe de segurança do Google Android.
Proteção aos usuários
Todas as amostras conhecidas de CoolReaper foram marcadas como maliciosas no WildFire™, um componente da solução Threat Intelligence Cloud da Palo Alto Networks que ajuda a identificar ameaças de aplicações, executando-as em um ambiente virtual e, automaticamente, compartilhando-as com a solução GlobalProtect da Palo Alto Networks para identificar os dispositivos afetados.
Todas as URL de Comando & Controle conhecidas e usadas pelo CoolReaper foram identificadas como maliciosas nos produtos de prevenção de ameaças da Palo Alto Networks, permitindo aos clientes a prevenção do extravio de dados, mesmo que os servidores de Comando & Controle ou URLs mudem.
A Palo Alto Networks também disponibiliza assinaturas para detectar e bloquear o tráfego de Comando & Controle do CoolReaper, que tem efetividade mesmo com a mudança de servidores de Comando & Controle para uma nova localização.
As descobertas sobre o CoolReaper reforçam ainda mais a necessidade de uma segurança móvel abrangente, que utilize uma combinação de inspeção de tráfego com informações sobre ameaças, tanto para a detecção quanto para prevenção de aplicações perigosas. A solução GlobalProtect da Palo Alto Networks fornece às organizações proteção contra ameaças cibernéticas avançadas, incluindo a capacidade de analisar continuamente conteúdo móvel para a atividade secreta ou mal intencionada.