在CMP组件里,Coolreaper使用了13个不用的URL用来注册设备、获取指令、返回执行结果、上传执行信息、下载apk文件以及执行其他任务。这些URL如下:
http://dmp.51Coolpad.com/dmp/api/getfirstpushmsg
http://dmp.coolyun.com/dmp/api/userregister
http://dmp.coolyun.com/dmp/api/getstrategy
http://dmp.coolyun.com/dmp/api/getpushmsg
http://dmp.coolyun.com/dmp/api/reportpushmsg
http://dmp.coolyun.com/dmp/api/updatepushmsg
http://dmp.coolyun.com/dmp/api/exceptupload
http://dmp.coolyun.com/dmp/api/setuserstate
http://dmp.coolyun.com/dmp/api/getapkupdate
http://dmp.coolyun.com/dmp/api/strategyandupdate
http://dmp.coolyun.com/dmp/api/ctruleservlet
http://dmp.coolyun.com/dmp/api/ctrulereportservlet
http://dmp.coolyun.com/dmp/api/strategyandupdate
ICU组件使用如下URL下载配置数据以及上传用户信息:
http://icudata.coolyun.com/
http://icudata.51Coolpad.com/
http://113.142.37.246/filereceiver
http://icucfg.coolyun.com/
http://icucfg.51Coolpad.com/
http://113.142.37.246/icucfg
http://file.Coolpadfuns.cn/actioncollect
coolyun.com除了发送指令控制设备外还解析为酷派官方云服务:酷云。
通过酷云,酷派提供服务以及应用给安卓用户。我们对比了CoolReaper以及酷云客户端来确认它是否是酷云的合法管理应用
酷云客户端的包名为:com.android.coolwind 。它在cooyun.com以及各大应用市场均能下载。我们注册了一个酷云帐号发现其只给用户提供了少量服务,包括备份联系人以及云存储。这些功能和coolReaper比起来简直小巫见大巫。
事实上,处理使用同样的C2域名外,CoolReaper和酷云唯一的关系就是ICU组件在设备上收集酷云帐号并且发送到C2服务器。
CoolReaper Back-End
一般来说像像CoolReaper这种后门的后台控制系统是很难被找到或者公开的,但是最近酷派开发给我们了一个机会去见识下酷派到底是怎么使用这个后门的。
2014年9月19号,乌云白帽子"爱上平地山"在乌云网上报酷派漏洞酷派官方静默安装apk功能后台存在高危漏洞(演示定制机是如何在你的手机默默安装)。同天酷派确认此漏洞并且评论"感谢提供,我们尽快解决,谢谢。"