Palo Alto Networks gibt Details über eine Backdoor-Malware bekannt, die Millionen von Android-basierten mobilen Geräten gefährdet. Gefährdet sind Geräte von dem chinesischen Anbieter Coolpad, dem weltweit sechstgrößten Smartphone-Hersteller. Die Hintertür mit dem Namen „CoolReaper“ setzt Benutzer potenziell schädlichen Aktivitäten aus und wurde offensichtlich durch Coolpad trotz der Einwände von Kunden installiert.
Es ist üblich, dass Gerätehersteller auf Googles Android-Smartphone-Betriebssystem eigene Software „on top“ installieren, um zusätzliche Funktionen bereitzustellen und Anpassungsmaßnahmen vorzunehmen. Einige Mobilfunkbetreiber installieren auch Anwendungen, um Daten über die Performance des Geräts zu sammeln. Nach eingehender Analyse durch Unit 42, das Analyse-Team von Palo Alto Networks, geht CoolReaper aber weit über die Sammlung von Grundnutzungsdaten hinaus. Die Software fungiert als eine echte Hintertür für den heimlichen Zugang in Coolpad-Geräte. Coolpad scheint auch eine Version des Android-Betriebssystems geändert haben, um es Antivirus-Programme zu erschweren, die Hintertür zu erkennen.
CoolReaper, entdeckt von Claud Xiao, IT-Sicherheitsforscher bei Palo Alto Networks, wurde auf 24 Handymodellen, die von Coolpad verkauft wurden, identifiziert. Daraus resultiert eine mögliche Gefährdung von über 10 Millionen Nutzer, wenn man öffentlich erhältliche Informationen von Coolpad zugrundelegt.
„Wir gehen davon aus, dass Android-Hersteller in der Regel Software auf Geräten vorinstallieren, die Funktionen bereitstellen und Anwendungen auf dem neuesten Stand halten. Aber die CoolReaper-Hintertür geht weit darüber hinaus. Coolpad hat vollständige Kontrolle über die betroffenen Geräte, behindert die Software von Antivirus-Programmen liefert Benutzer ungeschützt möglicherweise böswilligen Akteuren aus. Wir fordern die Millionen von Coolpad-Benutzern auf, die von CoolReaper betroffen sein könnten, ihre Geräte hinsichtlich dieser Hintertür zu überprüfen und Maßnahmen zu ergreifen, um ihre Daten zu schützen“, erklärte Ryan Olson, Intelligence Director, Unit 42, Palo Alto Networks.
Hintergründe und Auswirkungen von CoolReaper
Die vollständigen Ergebnisse zu CoolReaper wird heute der Report „CoolReaper: The Coolpad Backdoor“, ein neuer Bericht von Unit 42, verfasst von Claud Xiao und Ryan Olson, veröffentlicht. In der Analyse hat Palo Alto Networks auch eine Liste von Dateien veröffentlicht, die auf die CoolReaper-Hintertür in Coolpad-Geräten hinweisen.
Wie die Forscher festgestellt haben, kann CoolReaper jede der folgenden Aufgaben ausführen, wodurch sensible Benutzer- oder Unternehmensdaten gefährdet werden könnten. Darüber hinaus könnten Angreifer eine Schwachstelle ausnutzen, die im Backend-Steuerungssystem von CoolReaper gefunden wurde.
CoolReaper kann:
- eine Android-Anwendung ohne Einwilligung oder Benachrichtigung des Nutzers herunterladen, installieren oder aktivieren.
- Benutzerdaten löschen, vorhandene Anwendungen deinstallieren oder Systemanwendungen deaktivieren.
- Benutzer über ein gefälschtes Over-the-Air (OTA) Update informieren, das das Gerät nicht aktualisiert, sondern unerwünschte Anwendungen installiert.
- beliebige SMS oder MMS versenden oder hinzufügen.
- beliebige Telefonnummern wählen.
- Informationen über Gerät, Standort, Anwendungsnutzung, Anrufe und SMS-Historie zu einem Coolpad-Server hochladen.
Weitere Artikel
Palo Alto Networks: Schwachstelle setzt Android-Benutzer Datendiebstahl und Malware aus
Palo Alto Networks meldet: Ransomware CTB-Locker umgeht Sicherheitsprogramme
Diese mobilen Schädlinge machten 2012 den Smartphone-Nutzern zu schaffen: SMS-Trojaner, Backdoor-Programme und Spyware
Sicherheitsschlendrian bei österreichischer Bank – Teil 1