資安業者Palo Alto Networks公布一份針對中國酷派(Coolpad)手機後門程式CoolReaper所進行的研究報告發現,至少有24款酷派手機在出廠時就內建了CoolReaper後門程式。

Palo Alto Networks表示,他們是在去年10月接獲報告,有酷派的Android手機用戶發現廣告會以通知的形式出現,還會自動安裝新程式,因而著手展開調查。

Palo Alto Networks調查了市場上的77種酷派手機ROMs,其中有45種為官方版,32種為由第三方客製化,並發現當中的64種ROMs含有CoolReaper後門程式,其中的41種是官方版,另外的23種為第三方韌體,總計影響了至少24款酷派手機。

↓ 在Palo Alto Networks所調查的這28款手機中,只有後四款沒有發現到CoolReaper。

仔細分析CoolReaper的功能後發現,它會下載特定的APK檔案,然後在未經使用者同意下就於背景安裝該檔案,還能自動更新;亦可執行任何程式或啟動各種服務;甚至擅自移除程式,或是建立及移除程式的桌面捷徑;能清空使用者的資料;開啟或關閉系統程式;未經使用者同意即撥打或傳送簡訊予特定的號碼;當使用者按下通知訊息時,就會自動撥打電話、顯示網頁或安裝程式;上傳使用者硬碟中的資料或是手機資訊。

換句話說,CoolReaper幾乎可以在使用者的手機上執行各種任務,包括移除所有的安全程式或是安裝惡意程式。此外,官方韌體還隱藏了CoolReaper的存在,讓它更難被防毒軟體發現,再加上它以系統程式的型態安裝,即使被防毒軟體偵測到,使用者也必須先取得最高權限才能移除CoolReaper。

Palo Alto Networks認為,這根本就是酷派故意植入的。除了官方版韌體與基於官方版韌體的第三方韌體含有CoolReaper外,所有CoolReaper的APK檔案都擁有與酷派官方版韌體一致的憑證,而且用來遠端控制CoolReaper的兩台伺服器─coolyun.com與51Coolpad.com都是登記在酷派名下,也被用來提供酷派的雲端服務。

根據市場研究機構Canalys的調查,酷派為全球第六大手機製造商,也是中國市場第三大手機製造商,今年第二季在中國的市佔率為11.5%,只落後聯想及小米科技,甚至凌駕三星與蘋果,光是在今年上半年就推出29款新手機。

除了已在中國奠定了強大的基礎外,酷派也積極進軍全球市場,台灣業者威寶曾於2012年引進酷派手機,歐洲與美國相繼於去年及今年開始銷售酷派手機,而今年7月酷派亦與台灣、印度及印尼的電信業者合作推出酷派手機,泰國及馬來西亞也於9月開始銷售來自該公司的手機。估計至9月期間,這些地區就賣出50萬支以上「大神」系列(Dazen)手機。

雖然Palo Alto Networks今年11月在加州購買了一支一年前製造的酷派手機時並未發現CoolReaper的存在,但仍然懷疑含有CoolReaper的酷派手機早已流傳至中國以外的市場。事實上台灣使用者在Mobile01上就透露酷派的5950T手機會自動下載遊戲,Palo Alto Networks也偵測到來自台灣教育機構的CoolReaper流量(如下圖↓)。

Palo Alto Networks表示,目前已知受到影響的地方雖然只限於中國和台灣,但以酷派的市場地位以及其全球的擴展計畫來看,恐怕這隻後門程式已經遍布全球了。(編譯/陳曉莉)

相關連結:Palo Alto Networks研究報告


Advertisement

更多 iThome相關內容