Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Palo Alto Networks dévoile une porte dérobée sur les terminaux Android vendus par Coolpad

décembre 2014 par Palo Alto Networks

Palo Alto Networks® révèle des informations sur une porte dérobée (« backdoor » en anglais) présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks.

Contexte et effets de CoolReaper

L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper.

Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de :

Télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ;
effacer des données utilisateur, désinstaller des applications existantes ou désactiver des applications système ;
informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ;
envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ;
transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad

L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014.

Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

Protection des utilisateurs

Tous les échantillons connus de CoolReaper ont été marqués comme étant malveillants par WildFire™, un composant clé du Cloud d’analyse des menaces de Palo Alto Networks (Threat Intelligence Cloud) qui, pour identifier les menaces provenant d’applications, les exécute dans un environnement virtuel et les partage automatiquement avec Palo Alto Networks GlobalProtect afin d’identifier les terminaux infectés.

De plus, toutes les URL de commande et de contrôle utilisées par CoolReaper sont identifiées comme étant malveillantes dans les produits de prévention contre les menaces de Palo Alto Networks. Les clients peuvent ainsi empêcher l’exfiltration de données même en cas de changement de serveurs ou d’URL de commande et de contrôle.

Pour détecter et bloquer tout trafic malveillant de commande et contrôle CoolReaper, Palo Alto Networks propose également des signatures qui restent efficaces même en cas de déplacement du serveur de commande et contrôle.

Les résultats des études sur CoolReaper viennent renforcer l’idée qu’une sécurité mobile exhaustive passe par l’association des technologies d’inspection du trafic et d’analyse des menaces en vue de détecter et de se prémunir contre les applications dangereuses. GlobalProtect de Palo Alto Networks protège les entreprises contre les cybermenaces avancées et offre, en prime, une analyse permanente des contenus mobiles afin de détecter toute activité secrète ou malveillante.


Voir les articles précédents

    

Voir les articles suivants