A terceira maior empresa de comércio eletrônico da China, chamada Pinduoduo, está sendo acusada de usar seus aplicativos de Android para instalar vírus nos smartphones dos clientes.
Os softwares estariam explorando uma vulnerabilidade no sistema operacional para inflar os próprios números de utilização diária, além de obter dados de usuários e ultrapassar medidas de proteção da plataforma.
O comportamento malicioso foi encontrado em versões do Pinduoduo disponíveis em lojas de aplicativos de terceiros, amplamente usadas pelos usuários chineses devido à restrição no acesso à Google Play no país.
Os problemas foram encontrados pelos analistas de segurança da Lookout em pelo menos duas versões, que exploravam uma brecha zero-day para obter privilégios de administração nos aparelhos, sem a anuência do usuário.
Por meio da
CVE-2023-20963
, corrigida em atualização para o Android liberada há duas semanas, os aplicativos eram capazes de rodar códigos diretamente no aparelho para o download de soluções, aumentando assim os números de utilizadores de forma artificial.
A brecha também permitiria a obtenção de dados de uso do dispositivo e poderia impedir que softwares da Pinduoduo fossem desinstalados.
Outras ações maliciosas também envolvem o controle de notificação e o rastreamento dos usuários por meio de dados de localização e Wi-Fi, além da coleta de informações sobre outros apps instalados no aparelho ou baixados pelas pessoas.
Havia, ainda, a possibilidade de instalar widgets sem autorização, além da exibição de anúncios no lugar dos oficiais, vistos em sites ou outras soluções legítimas.
Os alertas levaram à remoção do aplicativo da Google Play Store, onde ele estava disponível também para usuários de fora da China.
Enquanto a gigante não comentou sobre o caso, a retirada parece relacionada à falha de segurança, que pode continuar sendo explorada em smartphones mais antigos que não tenham recebido o update.
No iOS, onde o comportamento malicioso não foi identificado, o app segue disponível.
Além da brecha citada, a Dark Navy também encontrou menções a outra brecha de segurança no Android, a
CVE-2021-25337
, em meio aos códigos dos apps maliciosos.
A vulnerabilidade que permite a leitura e escrita de arquivos fora das autorizações dadas pelo usuário atinge apenas modelos da Samsung e também já foi corrigida.
Ela, entretanto, não seria utilizada pelos apps da Pinduoduo.
O ataque foi considerado altamente sofisticado para um aplicativo do tipo, além de especialmente preocupante por se tratar de uma empresa reconhecida, com mais de 751 milhões de usuários mensais.
A recomendação é pela não instalação dos aplicativos e realização de uma limpeza no celular, caso a instalação já tenha sido feita, além do download das mais recentes atualizações do Android para fechar brechas de segurança conhecidas.
Em comunicado enviado à imprensa internacional, a Pinduoduo negou as acusações dos pesquisadores de que seus aplicativos teriam fins maliciosos.
Sobre a remoção do software da Play Store, o e-commerce disse ter sido comunicado pelo Google sobre o fato de a versão atual da plataforma não estar de acordo com políticas de uso; a companhia disse estar buscando contato adicional para entender melhor o que aconteceu e tomar as medidas necessárias para retorno à loja.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...