Специалисты ИБ-компании Palo Alto Networks опубликовали подробности исследования бэкдора, обнаруженного в Android-устройствах одного из крупнейших китайских производителей Coolpad. Бэкдор, получивший название “CoolReaper”, позволяет злоумышленникам осуществлять различные виды потенциально вредоносной деятельности.
Например, загружать, устанавливать и активировать любое Android-приложение без ведома и согласия пользователя, извещать владельцев телефонов о поддельных OTA (over-the-air)-обновлениях, устанавливающих нежелательные программы, а также загружать информацию об устройстве (местонахождение, историю звонков и активность приложений).
По словам исследователей, есть причины полагать, что бэкдор был создан и установлен самой компанией. Об этом свидетельствует тот факт, что все выявленные APK-файлы “CoolReaper” были подписаны цифровой подписью Coolpad. Так же было подписано и 41 инфицированное ПЗУ.
Некоторые из ПЗУ, зараженных “CoolReaper”, содержали модифицированную версию Android, специально измененную с целью скрыть наличие бэкдора от пользователей и антивирусных программ. Также специалисты выяснили, что два домена coolyun.com и 51Coolpad.com, используемые в качестве С&С-серверов, зарегистрированы компанией Coolpad. Специалисты Palo Alto Networks исследовали 77 ПЗУ китайских версий Android-девайсов Coolpad. Бэкдор содержался в 64 из них. Эксперты подтвердили, что данная уязвимость присутствует, по крайней мере, в 24 различных моделях устройств, выпускаемых компанией. (Palo Alto Networks/NovostIT)