Приложенията за Android, цифрово подписани от третата по големина китайска компания за електронна търговия, използват уязвимост от типа 0-day, или "нулев ден", която им позволява тайно да поемат контрол над милиони крайни потребителски устройства, да крадат лични данни и да инсталират зловредни приложения, потвърдиха изследователи от фирмата за сигурност Lookout.
Зловредните версии на приложението Pinduoduo са били достъпни на пазарите на трети страни, на които потребителите в Китай и други страни разчитат, тъй като официалният пазар на Google Play е забранен или не е лесно достъпен. Не са открити зловредни версии в Play или App Store на Apple. Миналия понеделник TechCrunch съобщи, че Pinduoduo е бил изтеглен от Google Play, след като Google е открил злонамерена версия на приложението, налична на друго място. TechCrunch съобщи, че злонамерените приложения, налични в пазарите на трети страни, са използвали няколко 0-day уязвимости, които са известни или се използват, преди производителят да е предоставил кръпка.
Предварителен анализ на Lookout установи, че поне две версии на Pinduoduo за Android извън Play са използвали CVE-2023-20963 - номерът за проследяване на уязвимост в Android, която Google закърпи в актуализации, станали достъпни за крайните потребители преди две седмици. Този пробив, свързан с повишаване на привилегиите, който беше използван преди разкриването му от Google, позволяваше на приложението да извършва операции с повишени привилегии. Приложението е използвало тези привилегии, за да изтегли код от посочен от разработчика сайт и да го стартира в привилегирована среда.
Зловредните приложения представляват "много сложна атака за зловреден софтуер, базиран на приложения", пише в имейл Кристоф Хебайзен, един от тримата изследователи на Lookout, които са анализирали файла. "През последните години експлойтите обикновено не се наблюдават в контекста на масово разпространяваните приложения. Като се има предвид изключително натрапчивият характер на такъв усъвършенстван зловреден софтуер, базиран на приложения, това е важна заплаха, от която мобилните потребители трябва да се предпазят."
Изследователят добави, че анализът на Lookout е бил ускорен и че при по-задълбочен преглед вероятно ще бъдат открити още експлойти в приложението.
Pinduoduo е приложение за електронна търговия, което свързва купувачи и продавачи. Наскоро беше съобщено, че то има 751.3 милиона средномесечни активни потребители. Въпреки че все още е по-малка от китайските си конкуренти Alibaba и JD.com, PDD Holdings, публично търгуваната компания майка на Pinduoduo, се превърна в най-бързо развиващата се фирма за електронна търговия в тази страна.
След като Google премахна Pinduoduo от Play, представителите на PDD Holdings отрекоха твърденията, че някоя от версиите на приложенията ѝ е злонамерена.
Подозренията за приложението Pinduoduo се появиха за първи път миналия месец в публикация от изследователска група, наричаща се Dark Navy.
В превода на английски език се казваше, че "известните интернет производители ще продължат да изкопават нови уязвимости, свързани с OEM на Android, и да прилагат в своите публично публикувани приложения атаки срещу уязвимости на основните системи за мобилни телефони на настоящия пазар". В публикацията не се посочва името на компанията или на приложението, но се казва, че приложението е използвало "експлойт за сериализация и десериализация на пакети от Android, който изглежда непознат през последните години". В публикацията са включени няколко откъса от код, открити в предполагаемото злонамерено приложение. Един от тези низове е LuciferStrategy.
Няколко седмици по-късно някой с потребителско име davinci1012 публикува публикация в Github с преведено име Pinduoduo backdoor. Тя препращаше към публикацията на Dark Navy и предоставяше код и стъпки, които изследователите биха могли да следват, за да пробият защитите срещу анализ и да намерят предполагаем експлойт в приложенията на Pinduoduo за Android, публикувани преди 5 март. Последваща публикация в Github няколко дни по-късно включваше още повече подробности, които твърдяха, че показват зловредната функционалност в приложенията на Pinduoduo. Google премахна приложението Pinduoduo от Play няколко дни след публикуването на втората публикация на davinci1012.
Според публикацията на DarkNavy злонамереното приложение Pinduoduo включва функционалност, която позволява приложението да бъде инсталирано тайно, без възможност да бъде деинсталирано, като фалшиво завишава броя на активните потребители на Pinduoduo на ден и на месец, деинсталира конкурентни приложения, краде данни за поверителността на потребителите и заобикаля различни разпоредби за спазване на поверителността.
Снимка: Unsplash
Виж още: Този безплатен мениджър на пароли може да рискува сигурността ви