亚洲不卡在线精品视频

COOLREAPER：酷派設備后門(mén)報告

概要

酷派 ? 是世界第六大、中國第三大智能手機制造商。我們最近發(fā)現很多酷派的高端手機上安裝的軟件包括一個(gè)后門(mén)，由酷派自己預裝在手機中的；我們命名該后門(mén)為"CoolReaper"。我們在認真審查了投訴酷派可疑活動(dòng)論壇社區的帖子和留言后, 下載了酷派比較暢銷(xiāo)幾個(gè)型號的 Rom 的多個(gè)副本進(jìn)行研究后，我們發(fā)現絕大多數 Rom 包含后門(mén)程序 CoolReaper。

CoolReaper 可以執行以下任務(wù)：

下載、安裝、或激活任何未經(jīng)用戶(hù)同意或事先通知安裝的 Android 應用程序

清除用戶(hù)數據、卸載現有的應用程序、或禁用系統中的應用程序

假冒OTA更新，實(shí)際上并非更新設備功能和修復BUG，而是安裝新的后門(mén)升級版本

發(fā)送任意內容的彩信、短信到使用者的手機

撥打任意電話(huà)號碼

將設備信息、位置、應用程序使用情況、電話(huà)和短信等的歷史記錄信息上傳到酷派服務(wù)器

通常情況下，消費者期望設備制造商能夠在出廠(chǎng)的時(shí)候安裝一些有用的應用程序，可提供額外的功能和定制性，但 CoolReaper 不屬于該類(lèi)別。一些移動(dòng)運營(yíng)商安裝的應用程序用來(lái)收集他們的設備的使用情況的統計信息和其他數據。CoolReaper 遠遠超出了這種類(lèi)型的數據收集，是一個(gè)真正意義上的存在于酷派設備的后門(mén)。

酷派在中國的用戶(hù)在社區和論壇等報告酷派設備存在推送廣告、靜默自動(dòng)安裝應用程序的行為。有關(guān)此行為的投訴和詢(xún)問(wèn)已被酷派忽略或刪除。

酷派修改了很多他們固件中的Android 操作系統；所做的修改被專(zhuān)門(mén)用于隱藏 CoolReaper 組件。這些修改使得防病毒程序檢測CoolReaper 組件變得非常困難。

今年11 月份有一名白帽子安全研究員在 CoolReaper 后端控制系統中發(fā)現了一個(gè)漏洞，使得他得以查看如何從后臺控制系統控制酷派手機。

CoolReaper 的已知的影響到目前為止僅限于中國大陸和臺灣，但簽于酷派的全球擴張計劃，意味著(zhù)后門(mén)程序會(huì )威脅到全球的酷派用戶(hù)。

酷派是宇龍計算機通信科技(深圳)有限公司的全資子公司下的一個(gè)智能手機品牌。 (下稱(chēng)"酷派")。宇龍在香港證券所上市，其股票代碼為： 02369。

根據華爾街日報和Canalys的分析報告，酷派是世界第 6 大、中國第三大智能手機制造商?；?IDC 最近的一份報告，事實(shí)上，酷派擁有 3.7% 的全球市場(chǎng)份額，在中國大陸市場(chǎng)， 2014年第二季度以 11.5% 的市場(chǎng)份額位居第四名，排名僅次于聯(lián)想和小米。到 2014 年，以 15.78% 的份額占據中國4G手機排名第一。

酷派的旗艦產(chǎn)品系列為“大神”和“大觀(guān)”系列，這一系列包含3G和4G網(wǎng)絡(luò )制式的多個(gè)型號，都運行安卓系統。

酷派的“大神”系列產(chǎn)品主打性?xún)r(jià)比路線(xiàn)，在其官方商城可以找到下來(lái)在售的產(chǎn)品：

· the Halo (大神) series: 大神 F1, 大神 F1 Plus, 大神 1S, 大神 F2, 大神 Note

· The S series: Coolpad S6

· The K series: Coolpad K1

· The 大觀(guān) series: 大觀(guān) 9970, 大觀(guān) 8971

· Others: Coolpad 8730L, Coolpad8720L, Coolpad 7295, Coolpad 9150W, Coolpad 9080W, Coolpad 5951, Coolpad 7295C,Coolpad 8908

圖1：酷派官方網(wǎng)站

除了在其官方商城銷(xiāo)售外，酷派還在中國大陸的電商渠道進(jìn)行銷(xiāo)售；也和中國移動(dòng)、中國聯(lián)通和中國電信這三大運營(yíng)商進(jìn)行合作，推出合約機銷(xiāo)售。

雖然知名度遠不如三星和蘋(píng)果，但酷派銷(xiāo)售量的大部分都在中國，且正在擴大其全球市場(chǎng)，特別是在利潤豐厚的 4g 手機市場(chǎng)： 2014年上半年酷派推出 29 個(gè)新型號的手機，其中 12 部支持 4g 網(wǎng)絡(luò ) ；酷派在 2013 年，出貨 3720 萬(wàn)部手機；并在 2014 年3 月份在一個(gè)月內發(fā)貨 600 萬(wàn)部。2014 年酷派的銷(xiāo)售目標是全球銷(xiāo)量6000萬(wàn)部，大神系列單獨預計超過(guò) 1000 萬(wàn)部的銷(xiāo)量。

酷派的全球擴張計劃

據華爾街日報的報道，酷派計劃向海外擴張到東南亞、歐洲和美國；在酷派官方美國網(wǎng)站上，有三種型號的手機在美國銷(xiāo)售。

· Coolpad Quattro 4G (Coolpad5860E)

· Coolpad Flo

· Coolpad Quattro II

在 2012 年，酷派在美國聯(lián)合MetroPCS （MetroPCS后合并到 T-Mobile），賣(mài)出了超過(guò) 130 萬(wàn)臺的 Quattro 4 G。在 2014 年，該公司在美國聯(lián)合 GoSmart 移動(dòng)開(kāi)始銷(xiāo)售酷派Flo系列?？崤蓮?2013 年起，開(kāi)始在超過(guò)十個(gè)歐洲國家與沃達豐和法國電信合作銷(xiāo)售酷派 8860U 和酷派 8870U。在2014 年 7 月，酷派開(kāi)始與東南亞國家的運營(yíng)商合作，開(kāi)始擴張臺灣、印度和東南亞的市場(chǎng)。截止2014 年 9 月，在這些國家有超過(guò)500,000 的大神系列發(fā)貨。

CoolReaper: 酷派手機后門(mén)
酷派 Android 設備上的可疑活動(dòng)報告最初是在 2013 年 10 月在中國的一些社區論壇上開(kāi)始出現。用戶(hù)報告在不知情的情況下被安裝了應用程序，如（OTA）更新情況下出現的廣告。為了找到這些異常的原因我們開(kāi)始調查來(lái)源，下載酷派提供的ROM文件?？崤墒褂?/font>zip打包的ROM文件，提供給大神系列、 K 系列和 S 系列手機，并為其他機型提供自定義的 ROM。所有這些ROM可在酷派的官方支持論壇或在其官方的服務(wù)中心下載到?？崤商峁┻@些 ROM 的 OTA 更新和原廠(chǎng)恢復包。我們懷疑但是還沒(méi)有證實(shí)：酷派的后門(mén)程序在其他型號的手機上也包含。

在 2014 年 11 月我們從酷派的官方論壇（圖2 ）下載了所有 8 種型號的大神系列的 45種 Rom。為了擴大我們的研究范圍，我們還從其他2個(gè)ROM分發(fā)站點(diǎn)下載了20種其他型號的酷派手機的 32 種第三方的ROM。這2個(gè)站點(diǎn)是： romzj.com 和 romzhijia.net。這些ROM由社區或者個(gè)人定制，但是基于酷派的官方底包。

圖2：酷派官方支持論壇的大神系列ROM下載頁(yè)面

總的來(lái)說(shuō)，我們收集了 77個(gè)酷派手機的安卓ROM。這些ROM中有 64 種包含后門(mén) （即 CoolReaper）。其中41個(gè)ROM是8種型號的大神系列手機的； 23個(gè)是其他型號的。我們已經(jīng)確認至少 24 個(gè)不同型號的酷派包含后門(mén) CoolReaper。表 1 列出了詳細的型號和ROM總數以及感染的ROM數量。

表1：感染的ROM一覽表

CoolReaper 后門(mén)的文件和版本

在各種的 Rom中，包括的 CoolReaper后門(mén)程序，以下列文件名和路徑存在：

· /system/app/CP_DMP.apk

· /system/app/CP_DMP.odex

· /system/app/GoogleGmsFramework.apk

· /system/app/GoogleGmsFramework.odex

· /system/lib/libgmsframework.so

Libgmsframework.so 文件不是一個(gè)安卓的庫文件，而實(shí)際上一個(gè) APK 文件。此文件的內容始終是相同的，唯一的區別是他們一個(gè)調試用的數字簽名有所不同?？偣参覀儼l(fā)現了 12 個(gè)不同版本的 CoolReaper，如表 2 所示。

表2：CoolReaper 后門(mén)文件的版本

開(kāi)發(fā)人員使用生成日期用作其版本的代碼，并在其版本名稱(chēng)中使用生成和集成時(shí)間進(jìn)行組合。利用這兩個(gè)標識符，我們可以看到，CoolReaper 的開(kāi)發(fā)或許在 2013 年 10 月 12 日之前。我們還觀(guān)察到在 2014 年 5 月前后，新版本的后門(mén)被發(fā)布（從 2.x 到 3.0）。同時(shí)，包的名稱(chēng)從 CP_DMP.apk 更名為 GoogleGmsFramework.apk。我們懷疑這種變化是在用戶(hù)報名稱(chēng)"CP_DMP.apk"文件包含惡意行為而做出的一種“改進(jìn)”。

后門(mén)的起源

有人可能會(huì )懷疑后門(mén) CoolReaper 是由惡意的第三方植入的。不過(guò)，出于以下原因我們相信「后門(mén) 」是酷派自己制造的：

⑴ 后門(mén)程序使用酷派的其他官方組件的簽名（見(jiàn)表 3）且41個(gè)ROM都由酷派官方簽名分發(fā)。

⑵ 用戶(hù)升級反病毒軟件和老版本的后門(mén)程序被發(fā)現后，一些后來(lái)包括 CoolReaper 后門(mén)的 ROM，其所謂升級，只是專(zhuān)門(mén)為了隱藏 CoolReaper這個(gè)后門(mén)。

⑶ 用作控制后門(mén)程序接受指令的2個(gè)域名：51Coolpad.com和coolyun.com都被登記為酷派官方所有。

去年 11 月，CoolReaper 的后端控制系統中的漏洞被披露?？崤沙姓J控制系統存在，他們同意修補該漏洞?？刂葡到y也位于 coolyun.com，還承載著(zhù)為 CoolReaper 發(fā)送指令的功能。

CoolReaper 后門(mén)分析

為了找出后門(mén)程序的功能，我們使用一個(gè)樣品來(lái)進(jìn)行分析。樣品來(lái)自大神f2（酷派 8675) 的ROM; 基于 Android 的 4.4。ROM 構建于 2014 年 11 月 18 日；生成 ID4.4.051.P2.141118.8675。ROM 的SHA-1值為 39240a84070040c27221b477f101bf9b1555d7ce。在這個(gè) ROMCoolreaper apk 文件位于 /system/app/GoogleGmsFramework.apk。該 APK 文件的SHA-1值為：3753244484c4a8b2b2dc8c3b7e119eabd0490398。這個(gè) APK 文件中的代碼通過(guò)了混淆器進(jìn)行了混淆，使得難以反編譯和閱讀分析其中的原理和功能。為了便于分析，我們下面列出的代碼中，很多函數和代碼已重命名為易于閱讀和理解的名稱(chēng)。我們的重命名基于以下原則：

⑴ CoolReaper 的開(kāi)發(fā)人員使用了許多調試的字符串，用于標識混淆后的原始類(lèi)或函數；在可能的情況下，我們使用這些名稱(chēng)。（圖 3）

⑵ 該代碼是高質(zhì)量的或者開(kāi)發(fā)人員習慣使用的特定架構；重命名遵循這些架構。

⑶ 我們未能辨認出作者的意圖的名字的地方我們將基于對象的功能給予新名稱(chēng)。

圖3：許多出于調試目的而使用的字符串

更改這些函數的名稱(chēng)會(huì )使代碼更具可讀性，但不會(huì )更改程序的邏輯或代碼的功能。

系統程序和系統用戶(hù)ID

在受感染的 ROM中，CoolReaper 是作為Android 系統應用程序安裝的。所有的樣品也有相同的包名稱(chēng)"com.android.update.dmp"。標識符"DMP"是基于文件名、包名稱(chēng)、C2服務(wù)和url。我們懷疑這是數據管理平臺的一個(gè)縮寫(xiě)。

在 AndroIDManifest.xml 文件中，指定一個(gè)應用程序與 Android 系統的交互，CoolReaper 同樣通過(guò)此文件申明： sharedUserId 屬性的值是"android.uid.system"（圖 4）。通過(guò)這樣一個(gè)申明過(guò)程，可以看出來(lái)程序將運行于設備上具有系統特權。這被用于構建到操作系統的應用程序，而表面其不是由第三方安裝。

圖4：CoolReaper后門(mén)程序的包文件名和用戶(hù)ID

圖 5 顯示了用于簽署 CoolReaper 的機構，屬于中國宇龍酷派公司，和ROM文件擁有一樣的簽名和證書(shū)。

圖5：CoolReaper 后門(mén)程序使用的是酷派公司的證書(shū)文件簽發(fā)

用戶(hù)界面

CoolReaper 的可視性的應用程序名稱(chēng)是"Android系統"，并使用來(lái)自另一個(gè)實(shí)際的系統中應用程序的圖標，但是，CoolReaper 后門(mén)進(jìn)程沒(méi)有出現在 Android 系統這個(gè)進(jìn)程中。

CoolReaper 執行了很少的用戶(hù)界面組件，他們中的一些非有效，如com.android.update.dmp.MainActivity ；和其他用于惡意或潛在不需要的功能。這些組件包括 com.android.update.dmp.PretendedOTADialog，用于顯示偽裝的 OTA 更新通知（com.android.update.dmp.weblinkhandler）。具有WebLinkActivity功能和特性，目的是打開(kāi)一個(gè)特定的 URL（來(lái)自酷派的控制服務(wù)器下達的url指令）。

大約有半數的 CoolReaper 的惡意和潛在有害行為沒(méi)有用戶(hù)界面，并不提供任何用戶(hù)可看到的通知。

函數功能

在 CoolReaper后門(mén)中的DMP 和 ICU 組件實(shí)現許多功能，二者結合使用后，組成一個(gè)功能完備、強大的后門(mén)程序。DMP 組件的功能主要是用于遠程控制用戶(hù)的設備。此組件包含的函數，使其能夠執行下列功能：

下載指定的 APK 文件，OTA 更新軟件包和其他類(lèi)型的文件，無(wú)需用戶(hù)確認

安裝下載的 APK 文件，無(wú)需用戶(hù)確認

后臺啟動(dòng)任何安裝的應用程序，無(wú)需用戶(hù)確認

啟動(dòng)指定服務(wù)，無(wú)需用戶(hù)確認

卸載任何已安裝的應用程序，無(wú)需用戶(hù)確認

在用戶(hù)桌面創(chuàng )建或者刪除應用程序的快捷方式，無(wú)需用戶(hù)確認

清除用戶(hù)的任何數據或者指定的應用程序和數據，無(wú)需用戶(hù)確認

啟用或禁用指定的系統應用程序無(wú)需用戶(hù)確認

推送正常的 OTA 更新

推送偽造的OTA更新程序

執行 OTA 更新使用已經(jīng)后臺下載完畢的軟件包

撥打指定的電話(huà)號碼，無(wú)需用戶(hù)確認

發(fā)送短信指定到指定的電話(huà)號碼，無(wú)需用戶(hù)確認

在手機中插入來(lái)自指定號碼的短信或彩信、內容和顯示偽造的通知

以指定的URL地址打開(kāi)默認瀏覽器，無(wú)需用戶(hù)確認

獲取或設置指定系統屬性

彈出一個(gè)通知或對話(huà)框，用戶(hù)點(diǎn)擊后，下載并安裝指定的 APK

彈出一個(gè)通知，用戶(hù)點(diǎn)擊后，撥打指定的電話(huà)號碼

彈出一個(gè)通知，用戶(hù)點(diǎn)擊后，顯示一個(gè) HTML 頁(yè)面

彈出一個(gè)通知，用戶(hù)點(diǎn)擊后，啟動(dòng)任何安裝的應用程序

將用戶(hù)的任何信息上傳到C2服務(wù)器

另一方面，ICU 組件主要收集用戶(hù)信息，并將它發(fā)送到 C2 服務(wù)器。ICU 收集和上傳以下信息：

設備的硬件信息

設備的地理信息包括省、市名稱(chēng)信息

關(guān)于所有已安裝的應用程序及其調用持續時(shí)間和頻率計數

SMS 消息發(fā)送和接收網(wǎng)絡(luò )信息，

包括所有的網(wǎng)絡(luò )連接類(lèi)型和一切的連接時(shí)間信息

很顯然在上面列出的所有功能中，可以看出 CoolReaper 是一個(gè)后門(mén)程序。后門(mén)可以簡(jiǎn)單地卸載或禁用用戶(hù)設備上的所有安全應用程序、安裝惡意軟件、竊取用戶(hù)隱私信息和在用戶(hù)設備中注入任何內容。

除了上面這些功能外，可能為了方便閱讀和程序員的后期維護，很多代碼本身中調試的字符串包括單詞"BackDoor（后門(mén)）"。例如，代碼中一個(gè)類(lèi)被命名為"BackDoorManager"和包含一個(gè)名為"processBackDoor"函數。

例如下面的代碼片段：

名為 BackDoorManager 的類(lèi)

當執行"偽裝"的 OTA 更新功能時(shí)，反饋報告消息時(shí)，程序使用的調試字符串是" thepreset app back door is opened（預設的程序后門(mén)打開(kāi)）!"，還有就是默認首選項文件中的項目名為"isBackDoorMsgSended"。（見(jiàn)下面的代碼）

調試消息，反饋信息和首選項名稱(chēng)可以隨便命名，字符本身并不包含惡意行為。然而，這些字符串指示的 CoolReaper 作者本意是將程序作為后門(mén)插入這些設備中。CoolReaper 包含太多的功能，限于篇幅不在這里詳細說(shuō)明。附錄 A 包含實(shí)現其最重要功能的源代碼截圖。

Coolyun服務(wù)器上的云指令

CoolReaper 的 DMP 和 ICU 組件使用兩個(gè)不同的 Url 作為其指揮和控制（C2）服務(wù)器。DMP 組件配置（圖8）列出了下列域名和 IP：

· dmp.51Coolpad.com

· dmp.coolyun.com

· 13.142.37.149

以我們的分析來(lái)看，這些域名解析為 IP 地址上面列出的 113.142.37.149。而且CoolReaper 有能力在任何時(shí)間更新 C2 服務(wù)器域名和地址（圖 9）。

DMP 組件使用 HTTPPOST 請求與 C2 服務(wù)器進(jìn)行通信。當讀取命令或上傳的信息，它使用一個(gè)獨特的用戶(hù)代理："UAC/1.0.0 （安卓系統<Build.VERSION.RELEASE>；Linux）"（圖 10）。這里<Build. version.release="">是在 Android 設備上安裝的系統版本名稱(chēng)。

在 CMP 組件內 CoolReaper 使用 13 種不同的 Url 來(lái)注冊該設備、檢索正在運行的設備設置、獲取命令、執行結果報告、異常信息上傳、下載 APK 文件和執行其他任務(wù)。下面列出了這些 Url：

· http://dmp.51Coolpad.com/dmp/api/getfirstpushmsg

· http://dmp.coolyun.com/dmp/api/userregister

· http://dmp.coolyun.com/dmp/api/getstrategy

· http://dmp.coolyun.com/dmp/api/getpushmsg

· http://dmp.coolyun.com/dmp/api/reportpushmsg

· http://dmp.coolyun.com/dmp/api/updatepushmsg

· http://dmp.coolyun.com/dmp/api/exceptupload

· http://dmp.coolyun.com/dmp/api/setuserstate

· http://dmp.coolyun.com/dmp/api/getapkupdate

· http://dmp.coolyun.com/dmp/api/strategyandupdate

· http://dmp.coolyun.com/dmp/api/ctruleservlet

· http://dmp.coolyun.com/dmp/api/ctrulereportservlet

· http://dmp.coolyun.com/dmp/api/strategyandupdate

ICU 組件使用以下 Url 來(lái)下載配置數據和上傳用戶(hù)信息：

· http://icudata.coolyun.com/

· http://icudata.51Coolpad.com/

· http://113.142.37.246/filereceiver

· http://icucfg.coolyun.com/

· http://icucfg.51Coolpad.com/

· http://113.142.37.246/icucfg

· http://file.Coolpadfuns.cn/actioncollect

除了為 CoolReaper后門(mén)服務(wù)外，coolyun.com也承載了酷派的公共云服務(wù),名為"

圖11：酷派的公共云服務(wù)“酷云”網(wǎng)站截圖

通過(guò) Coolyun，酷派為 Android 用戶(hù)提供一個(gè)云服務(wù)的應用程序。我們比較 CoolReaper 到 Coolyun 客戶(hù)端，以便確認這不是一個(gè)合法的 Coolyun管理應用程序。

Coolyun 應用程序軟件包的名稱(chēng)是"com.android.coolwind"?？蓮?Cooyun.com 和各種應用程序商店下載。我們注冊 Coolyun 帳戶(hù)，并看到用戶(hù)面板顯示只有少數的服務(wù)，包括備份的聯(lián)系人、日歷、短信、打電話(huà)歷史、筆記、書(shū)簽、照片、找回電話(huà)，以及云存儲功能。這些功能和后門(mén)CoolReaper是不同的。

事實(shí)上，除了使用相同的 C2 域名，CoolReaper和 Coolyun 服務(wù)之間唯一的關(guān)系是 ICU 組件從被感染的設備收集 Coolyun 帳戶(hù)名稱(chēng)，并將它發(fā)送到 C2 服務(wù)器。

CoolReaper 后門(mén)存在漏洞

在2014年11月19日，第三方漏洞報告平臺烏云，網(wǎng)民“愛(ài)上平頂山”就報告了一個(gè)此后門(mén)程序的服務(wù)器上的漏洞，原標題為：“酷派官方靜默安裝apk功能后臺存在高危漏洞(演示定制機是如何在你的手機默默安裝)。見(jiàn)下圖：

圖12：烏云網(wǎng)站上的酷派后門(mén)被爆漏洞，官方確認存在

Wooyun細節未予公布（譯者：這份報告制作時(shí)間在細節公開(kāi)時(shí)間12月19日之前）。然而，我們作為一個(gè)經(jīng)過(guò)烏云認證的白色帽子研究員，我們能夠在酷派確認它的存在后的第10 天后查看提交的漏洞細節。詳細的漏洞報告描述為auth.coolyun.com 的未經(jīng)授權的訪(fǎng)問(wèn)。通過(guò)此認證網(wǎng)關(guān)，研究員就可以登錄到了功能包括一個(gè)"權限管理平臺"進(jìn)行以下功能：

使用偽造的OTA更新來(lái)推送應用程序

靜默安裝應用程序

后臺下達指令

推送并激活指定的應用程序

截圖就是這個(gè)后臺推送地址登錄后的樣子：

圖13：酷派用于后門(mén)控制的服務(wù)網(wǎng)頁(yè)程序

中國安全媒體網(wǎng)站Aqniu.com，在該漏洞被提交的的第二天發(fā)表了一篇文章，其中包含這個(gè)后端控制系統另一個(gè)屏幕截圖（圖 14）。通過(guò)截圖，我們可以看到該系統提供的功能。

圖14：酷派用于后門(mén)控制的服務(wù)網(wǎng)頁(yè)程序清晰截圖

請注意所有這些功能在我們分析的 CoolReaper 樣品的代碼中能夠實(shí)現。2014 年 11 月 21 日，Aqniu.com 發(fā)表了一篇文章，聲稱(chēng)酷派工作人員人指出該工具"只用于內部測試"，酷派要求Aqniu.com 撤回上一篇文章。Aqniu.com 然后要求一份正式的信函才能撤回之前的文章，但酷派的代表沒(méi)有作出回應。

在用戶(hù)設備中隱藏CoolReaper后門(mén)

除了包括 CoolReaper 后門(mén)，一些酷派ROM 包括有意隱藏后門(mén)程序的設置。

從已經(jīng)安裝程序列表中隱藏

第一處修改用來(lái)隱藏，在 /system/framework/services.odex 文件中存在。此文件在 Android 系統實(shí)現了基本服務(wù)和其他組件?？崤尚薷膅etInstalledPackages方法在用于檢索列表上。修改后的版本專(zhuān)門(mén)查找包名稱(chēng)"com.android.update.dmp"，防止它被返回給發(fā)出請求的程序。（圖 15）。

圖15：由aqniu.com提供的后門(mén)程序部分代碼截圖

這一修改不僅從用戶(hù)的設備中隱藏包文件名，也能讓其他防病毒軟件無(wú)法檢測到。其結果是，這些反病毒工具不可能會(huì )意識到后門(mén)，或者他們無(wú)法進(jìn)行掃描以確定它是否是一個(gè)惡意程序。

禁用長(cháng)按通知菜單

第二個(gè)修改是在 /system/app/SystemUI.odex文件中，這是安卓手機的用戶(hù)界面控件的另一個(gè)重要組成部分。在這種情況下酷派已修改中一個(gè)名為 com.android.systemui.statusbar.BaseStatusBar 的內部類(lèi)的 getNotificationLongClicker功能。

通常情況下，當用戶(hù)長(cháng)按通知欄出現的對用的通知的時(shí)候，用戶(hù)可以通過(guò)出現的菜單來(lái)判斷是哪一個(gè)應用程序發(fā)出的通知。

酷派對其進(jìn)行修改，由 CoolReaper 生成的任何通知不會(huì )顯示此應用程序的信息（圖 16），防止用戶(hù)識別到生成的程序而采取措施。

圖16：禁用通知的長(cháng)按彈出菜單功能

規避預安裝的防病毒程序

第三個(gè)修改是酷派本身旗下的"CoolManager（酷管家）"預安裝的安全應用。此應用程序提供基本的防病毒和其他安全服務(wù)。每次應用程序是更新或安裝，CoolManager 將掃描它來(lái)識別惡意軟件。類(lèi)似于以前的修改，如果包名稱(chēng)為"com.android.update.dmp"，掃描的線(xiàn)程不會(huì )開(kāi)始（圖 17）。這使得 CoolReaper后門(mén)逃避了內置安全軟件的掃描。

CoolReaper后門(mén)的覆蓋和影響

國內用戶(hù)的檢舉

使用“CP_DMP.apk“作為關(guān)鍵字在搜索引擎中搜索，我們會(huì )發(fā)現其實(shí)在很早以前，酷派的用戶(hù)早已發(fā)現他們的設備被插入惡意程序，偷偷扣費，推送廣告，討論的社區遍布中國的各大主流網(wǎng)站，如下圖所示：

根據搜索結果的分析，我們可以知道，從 2013 年 10 月開(kāi)始，酷派手機的用戶(hù)就開(kāi)始探討他們的手機，會(huì )出現下列的奇怪現象：

頻繁后臺自動(dòng)更新

設備被控制，推送廣告和惡意程序

無(wú)操作的情況下自動(dòng)安裝程序，也查不出來(lái)病毒程序

干掉升級程序，依然頻繁自動(dòng)升級，用戶(hù)也無(wú)奈

在今年的5月5號，5月7號，5月28號，酷派的官方論壇曾經(jīng)有用戶(hù)反應和呼吁官方不要插入廣告和靜默安裝流氓程序，但沒(méi)有得到官方的回應。（相關(guān)頁(yè)面已經(jīng)被酷派官方工作人員刪除，鏈接為谷歌快照地址）

2.x 版本 3.0 和 APK 文件名稱(chēng)從 CP_DMP.apk 改為 GoogleGmsFramework.apk。我們相信此更新這種意圖是希望隱藏后門(mén)從已經(jīng)找到了它的用戶(hù)。這種策略似乎已成功地讓客戶(hù)通過(guò)辨識文件名刪除后門(mén)的努力變?yōu)榕萦啊?/font>

有用戶(hù)根據經(jīng)驗刪除了CP_DMP.APK程序，依然還有廣告：移動(dòng)叔叔論壇一位名為“虎皮鯊”的用戶(hù)發(fā)帖

最后于 10 月 23 日，用戶(hù)在酷派支持論壇再次報告此問(wèn)題，管理員刪除了此帖，但是通過(guò)谷歌搜索引擎仍然可以訪(fǎng)問(wèn)（快照）

國際范圍的影響

我們不知道有多少酷派的設備包含后門(mén)程序 CoolReaper?？紤]到 CoolReaper 似乎已開(kāi)發(fā)超過(guò) 12 個(gè)月，嵌入到 24 個(gè)手機型號，基于IDC的報告，很可能受到影響的用戶(hù)超過(guò) 1000 萬(wàn)。大多數受感染的設備應位于中國，因為該工具似乎專(zhuān)門(mén)針對中國用戶(hù)。例如，在一段后門(mén)代碼中，有用來(lái)檢查移動(dòng)設備的 SIM 卡 IMSI 號碼來(lái)識別三家中國運營(yíng)商。（圖 21）。

在 2014 年 11 月 25 日，我們在加利福尼亞州購買(mǎi)了酷派flo手機，發(fā)現它沒(méi)有包含后門(mén)程序 CoolReaper。該手機于一年前制造發(fā)布，所以它可能只是已建成太早而沒(méi)有包含惡意軟件。我們已經(jīng)能夠分析在美國銷(xiāo)售的剩余的兩個(gè)型號或那些銷(xiāo)往歐洲和亞洲其他地區的手機。只有中國酷派 ROM 文件的版本可供下載。以下可能是 CoolReaper 存在于中國以外的手機上的原因：

消費者通過(guò)像 eBay 這樣的網(wǎng)站，一些酷派手機直接銷(xiāo)往中國內陸和香港以及其他國家或地區包括美國和歐洲。CoolReaper 可能直接嵌入在手機銷(xiāo)往境外，只是不在我們分析的設備。CoolReaper可以通過(guò)使用在"CP_OTA.apk"中實(shí)現的酷派的官方 OTA 更新系統遠程安裝。在美國購買(mǎi)的酷派 Flo 設備上安裝了這個(gè)包。的用戶(hù)檢舉一節中我們知道：即使用戶(hù)刪除 CP_DMP.apk 文件后，它會(huì )自動(dòng)重新安裝。

2014 年 10 月，在臺灣的兩個(gè)用戶(hù)在mobile01論壇報告他們的酷派 5950T 設備被感染（圖 22）。

增補來(lái)自臺灣網(wǎng)友報道，12 月 11 日，我們發(fā)現了臺灣銷(xiāo)售的酷派手機同樣存在 CoolReaper后門(mén)程序。

檢測和保護

在酷派一系列的修改措施下，CoolReaper 很難被防病毒程序檢測到和刪除。。后門(mén)文件的簽名是酷派的官方數字證書(shū)，這一點(diǎn)就能繞過(guò)大部分安全產(chǎn)品（基于白名單機制的）。此外，如果防病毒產(chǎn)品能夠檢測到后門(mén)，但在沒(méi)有ROOT的手機上，也不能刪除該后門(mén)安裝的應用程序，在已經(jīng)ROOT的手機上可以刪除后門(mén)安裝的程序。

在 4 月和 7 月 2014 年，CoolReaper 的三個(gè)樣本被上傳到 VirusTotal （鏈接1、鏈接2和鏈接3）。截至 8月 23 日，24 個(gè)安全軟件廠(chǎng)商確定這些樣品為惡意或可疑文件。然而，樣品被確定為"通用的"或者"不安全"的分類(lèi)，這表明這些安全廠(chǎng)商沒(méi)有確定其為惡意軟件。某些供應商確定樣本之一為"Trojan.Android.Andup.a"，這是不準確。（圖 24）。

如果你擁有酷派設備，我們建議在你的手機上使用文件管理程序（比如Root Explorer），檢查以下文件：

· /system/app/CP_DMP.apk

· /system/app/CP_DMP.odex

· /system/app/GoogleGmsFramework.apk

/system/app/GoogleGmsFramework.odex

· /system/lib/libgmsframework.so

如果這些文件中的任何一個(gè)存在，手機就可能包含后門(mén)程序 CoolReaper。如果你的手機已經(jīng)包含文件，您可以簡(jiǎn)單地使用root權限刪除所有這些文件。然而，酷派仍可能會(huì )在未來(lái)使用 OTA 更新來(lái)安裝新的惡意軟件。

結論和風(fēng)險

基于我們的分析我們可以有關(guān) CoolReaper的以下結論：

后門(mén)CoolReaper使用和酷派分發(fā)的Rom相同的酷派的數字證書(shū)和使用酷派服務(wù)器用于指揮和控制。

酷派承認存在一個(gè)后臺管理界面，包含控制 CoolReaper 的功能。此接口是面向Internet 的服務(wù)器，最近發(fā)現了一個(gè)此系統的漏洞，允許未經(jīng)授權的訪(fǎng)問(wèn)。

酷派 Rom 包含可以幫助隱藏 CoolReaper 的功能，以逃避用戶(hù)和安全軟件的檢查和清除。

盡管有很多用戶(hù)報告和投訴他們被強制安裝不需要的應用程序和推送了許多廣告，酷派從未就此問(wèn)題與客戶(hù)溝通。

后門(mén)程序可能是酷派創(chuàng )建的一個(gè)用戶(hù)改進(jìn)功能系統，以幫助他們更新設備或收集統計信息，以及設備的使用情況。制造商在 Android 設備上安裝自定義軟件這事可以理解，但 CoolReaper 具有的功能遠遠超出用戶(hù)的期望和承受能力。后門(mén)程序擁有設備的完全控制權。中國用戶(hù)報告該系統目前被用于顯示廣告和安裝不需要的應用程序。

此外，CoolReaper 后門(mén)管理接口，還可能被惡意攻擊者通過(guò)漏洞來(lái)安裝其他不受酷派控制的程序。此漏洞可能已經(jīng)修復，也可能還沒(méi)有修復，可能允許惡意的黑客通過(guò)此漏洞控制包含后門(mén)的酷派設備。

CoolReaper的已知的影響到目前為止僅限于中國大陸和臺灣，但擁有全球擴張計劃的酷派，意味著(zhù)后門(mén)可能威脅到全球的其他用戶(hù)。

感謝來(lái)自Palo Alto Networks的Hui Gao, Zhaoyan Xu andXin Ouyang對我們報告提供的技術(shù)支持。

roustar31 原創(chuàng )翻譯，PDF報告下載

樓下為限于篇幅沒(méi)有附上的附錄A部分
原始英文報告獲取地址：https://www.paloaltonetworks.com ... ch/cool-reaper.html

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久