Złośliwe aplikacje chińskiego giganta e-handlu wykradały dane

Złośliwe aplikacje do korzystania ze sklepu Pinduoduo dostępne były w zewnętrznych źródłach dystrybucji oprogramowania na telefony z Androidem, które są wykorzystywane w Chinach głównie ze względu na niemożność uzyskania dostępu do oficjalnego Google Play.

Wszystkie miały cyfrowy podpis Pinduoduo, co uwiarygadniało je w oczach użytkowników. Według informacji serwisu Ars Technica , aplikacje zainstalowały na swoich telefonach miliony osób.

Złośliwy i skomplikowany atak

Firma z branży cyberbezpieczeństwa Lookout poinformowała, że znalazła co najmniej dwie wersje aplikacji Pinduoduo na Androida, wykorzystujące podatność CVE-2023-20963, załataną dopiero w aktualizacji naprawczej wydanej przez Google dwa tygodnie temu.

Podatność ta pozwala na przejmowanie kontroli nad atakowanym urządzeniem, pobieranie na nie złośliwego oprogramowania i wykradanie danych. Zdaniem cytowanego przez Ars Technikę badacza Christopha Hebeisena, atak z wykorzystaniem tej podatności jest szczególnie złośliwy, bo w ostatnich latach nie wykorzystywano tego rodzaju luk w masowych działaniach, a tu mamy do czynienia z przypadkiem bardzo złośliwego oprogramowania bazującego na aplikacji, co stanowi ogromne zagrożenie dla użytkowników urządzeń mobilnych.

Kto stoi za złośliwymi aplikacjami?

Według badaczy – firma PDD Holdings, która wypuściła na rynek swoje wersje aplikacji do Pinduoduo po tym, jak oficjalna wersja została usunięta z Google Play przez operatora tego sklepu z powodu niezgodności z zasadami platformy.

PDD Holdings zaprzecza, jakoby którakolwiek z wersji oferowanego przez tę firmę oprogramowania była złośliwa.

Wcześniej w internecie pojawiły się anonimowe posty na temat podatności i „backdoora" w aplikacjach Pinduoduo, wskazujące na potencjał jej złośliwego wykorzystania. Dotyczą one wersji opublikowanych przed 5 marca br. Kilka dni później Google Play usunęło program Pinduoduo ze swojej dystrybucji .

Zdaniem autorów wpisów, złośliwe aplikacje powstały po to, aby sztucznie zawyżać liczbę użytkowników tego sklepu, a także odinstalować z telefonów zainfekowanych przez siebie aplikacje konkurencji, wykradać prywatne dane i omijać mechanizmy mające chronić przed śledzeniem.

Podatność EvilParcel, z których korzystały złośliwe aplikacje Pinduoduo, jest na rynku od 2012 roku i opiera się na eskalacji przywilejów z atakowanego urządzenia.

Obecnie nie wiadomo, jak wiele razy pobrano złośliwe wersje Pinduoduo, jednak sprawa dotyczy milionów użytkowników , jeśli nie nawet – jak pisze Ars Technica – setek milionów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].