Palo Alto Networks reveló detalles de una falsa entrada contenida en millones de dispositivos móviles basados en Android vendidos por Coolpad, uno de principales fabricantes de smartphones en el mundo con sede en China. Esta backdoor conocida como “CoolReaper“, expone a los usuarios a actividades maliciosas y al parecer fue instalado y mantenido por Coolpad pese a las objeciones de los clientes y usuarios.

Es común que algunos fabricantes de dispositivos instalen software sobre el sistema operativo móvil Android de Google para proporcionar funcionalidad adicional y que los dispositivos puedan personalizarse; incluso, algunos operadores de telefonía móvil instalan aplicaciones que recopilan datos sobre el rendimiento del dispositivo. Tras un análisis detallado por Unit 42, grupo especializado en ataques avanzados de Palo Alto Networks, CoolReaper opera más allá de la recopilación de datos de uso básico, y actúa como un verdadero backdoor para los dispositivos de Coolpad. Al parecer la empresa también modificó la versión del sistema operativo Android para que sea mucho más difícil para los programas antivirus detectar esta entrada.

CoolReaper, descubierto por el investigador de Palo Alto Networks, Claud Xiao; ha sido identificado en 24 modelos de teléfonos vendidos por Coolpad, lo que significa un impacto potencial a más 10 millones de usuarios, esto según reportes de ventas de Coolpad, de acceso público.

Según lo observado por los investigadores, CoolReaper puede realizar diversas acciones que se describen a continuación y que ponen en peligro datos sensibles del usuario o los corporativos.

• Descargar, instalar o activar cualquier aplicación Android sin consentimiento del usuario o alguna notificación previa.
• Borrar datos de usuario, desinstalar aplicaciones existentes o deshabilitar las aplicaciones del sistema.
• Notificar a los usuarios de una falsa actualización OTA (Over The Air) que no actualiza el dispositivo, sino que instala aplicaciones no deseadas.
• Enviar o insertar mensajes SMS o MMS arbitrarios en el teléfono.
• Marcar números telefónicos de forma arbitraria.
• Subir información sobre el dispositivo, su ubicación, uso de aplicaciones, llamadas y SMS historia a un servidor de Coolpad.

Unit 42 se dio cuenta de CoolReaper después de numerosas quejas publicadas en internet, de clientes de Coolpad en China. En noviembre, un investigador en colaboración con Wooyun.org había identificado una vulnerabilidad en el sistema de control de back-end para CoolReaper, lo que dejó de manifiesto cómo Coolpad controla esta “puerta” del software. Además, un sitio de noticias chino, Aqniu.com, informó sobre algunos detalles de la existencia de esta vulnerabilidad y sus abusos en un artículo publicado el 20 de noviembre de 2014.

A partir de 17 de diciembre de 2014, Coolpad no respondió a varias solicitudes de asistencia de Palo Alto Networks. Los datos de este informe se le han hecho llegar al Equipo de seguridad Android de Google para su información.