0
0
App contém malware que consegue permissões privilegiadas no Android
O Pinduoduo é um dos aplicativos de compras mais populares da China, vendendo roupas, mantimentos e praticamente tudo o mais sob para mais de 750 milhões de usuários por mês.
Mas, de acordo com pesquisadores de segurança cibernética, ele também pode contornar a segurança do celular dos usuários para monitorar atividades em outros aplicativos, verificar notificações, ler mensagens privadas e alterar configurações. E uma vez instalado, é difícil de remover.
Enquanto muitos aplicativos coletam grandes quantidades de dados do usuário, às vezes sem consentimento explícito, especialistas dizem que a gigante do comércio eletrônico Pinduoduo levou as violações de privacidade e segurança de dados para o próximo nível.
A CNN conversou com meia dúzia de equipes de segurança cibernética da Ásia, Europa e Estados Unidos – bem como com vários funcionários antigos e atuais da Pinduoduo.
Vários especialistas identificaram a presença de malware no aplicativo, que explorava vulnerabilidades no Android. Pessoas de dentro da empresa disseram que os exploits foram utilizados para espionar usuários e concorrentes, supostamente para aumentar as vendas.
“Não vimos um aplicativo popular como este tentando aumentar seus privilégios para obter acesso a coisas às quais não deveriam”, disse Mikko Hyppönen, diretor de pesquisa da WithSecure, empresa finlandesa de segurança cibernética. “Isso é altamente incomum e é bastante prejudicial para a Pinduoduo.”
A evidência de malware sofisticado no app da Pinduoduo ocorre em meio a intenso escrutínio de aplicativos desenvolvidos na China, como o TikTok, devido a preocupações com a segurança dos dados.
As revelações também devem atrair mais atenção para o aplicativo irmão internacional do Pinduoduo, Temu, que está no topo das paradas de download dos EUA e se expandindo rapidamente em outros mercados ocidentais. Ambos são de propriedade da PDD, listada na Nasdaq, empresa multinacional com raízes na China.
Embora o Temu não tenha sido citado, as supostas ações do Pinduoduo correm o risco de lançar sombra sobre a expansão global de seu aplicativo irmão.
Não há evidências de que a Pinduoduo tenha entregue dados ao governo chinês. Mas, como Pequim desfruta de influência significativa sobre os negócios sob sua jurisdição, os legisladores americanos temem que qualquer empresa que opere na China possa ser forçada a cooperar com ampla gama de atividades de segurança.
As descobertas seguem a suspensão do Pinduoduo da Play Store pelo Google em março, citando malware identificado em versões do aplicativo. Um relatório subsequente da Bloomberg disse que uma empresa russa de segurança cibernética também identificou malware em potencial no aplicativo.
A Pinduoduo já rejeitou “a especulação e a acusação de que o aplicativo Pinduoduo é malicioso”. A CNN entrou em contato com a PDD várias vezes por e-mail e telefone para comentar, mas não recebeu resposta.
A Pinduoduo, que possui base de usuários que representa três quartos da população online da China e valor de mercado três vezes superior ao do eBay, nem sempre foi gigante das compras online.
Fundada em 2015 em Xangai por Colin Huang, ex-funcionário do Google, a startup lutava para se estabelecer em mercado há muito dominado pelos fortes e-commerces Alibaba e JD.com.
Conseguiu oferecer grandes descontos em pedidos de compra de grupos de amigos e familiares e se concentrar em áreas rurais de baixa renda.
A Pinduoduo registrou crescimento de três dígitos em usuários mensais até o final de 2018, ano em que foi listada em Nova York. Em meados de 2020, porém, o aumento de usuários mensais havia diminuído para cerca de 50% e continuaria diminuindo, de acordo com seus relatórios de ganhos.
Foi em 2020, de acordo com atual funcionário da Pinduoduo, que a empresa montou equipe de cerca de 100 engenheiros e gerentes de produto para procurar vulnerabilidades em telefones Android, desenvolver maneiras de explorá-las – e transformar isso em lucro.
De acordo com a fonte, que pediu anonimato por medo de represálias, a empresa visava apenas usuários em áreas rurais e cidades menores inicialmente, evitando usuários em megacidades como Pequim e Xangai. “O objetivo era reduzir o risco de exposição”, disse.
Ao coletar dados abrangentes sobre as atividades dos usuários, a empresa conseguiu criar retrato abrangente dos hábitos, interesses e preferências dos usuários, de acordo com a fonte.
Isso permitiu melhorar seu modelo de aprendizado de máquina para oferecer notificações push e anúncios mais personalizados, atraindo usuários para abrir o aplicativo e fazer pedidos.
A equipe foi dissolvida no início de março, acrescentou a fonte, depois que perguntas sobre suas atividades vieram à tona. A PDD não respondeu aos pedidos repetidos da CNN para comentar sobre a equipe.
Abordados pela CNN, pesquisadores da empresa cibernética Check Point Research, com sede em Tel Aviv, Oversecured, startup de segurança de aplicativos com sede em Delaware, e WithSecure, de Hyppönen, realizaram análises independentes da versão 6.49.0 do aplicativo, lançada nas lojas de aplicativos chinesas no final de fevereiro.
O Google Play não está disponível na China e os usuários do Android no país baixam seus aplicativos nas lojas locais. Em março, quando o Google suspendeu o Pinduoduo, disse ter encontrado malware em versões fora da Play.
Os pesquisadores encontraram código projetado para alcançar a “escalada de privilégios”: um tipo de ataque cibernético que explora um sistema operacional vulnerável para obter um nível mais alto de acesso aos dados do que deveria, de acordo com especialistas.
“Nossa equipe fez engenharia reversa desse código e podemos confirmar que ele tenta aumentar os direitos, tenta obter acesso a coisas que aplicativos normais não seriam capazes de fazer em telefones Android”, disse Hyppönen.
O aplicativo foi capaz de continuar rodando em segundo plano e evitar que fosse desinstalado, o que permitiu aumentar suas taxas mensais de usuários ativos, disse Hyppönen. Ele também tinha a capacidade de espionar os concorrentes rastreando a atividade em outros aplicativos de compras e obtendo informações deles, acrescentou.
A Check Point Research também identificou maneiras pelas quais o aplicativo foi capaz de escapar de outras análises.
O aplicativo implantou método que permitia enviar atualizações sem processo de revisão da loja de aplicativos destinado a detectar apps maliciosos, disseram os pesquisadores.
Eles também identificaram em alguns plug-ins a intenção de ocultar componentes potencialmente maliciosos, ocultando-os sob nomes de arquivos legítimos, como o do Google.
“Essa técnica é amplamente usada por desenvolvedores de malware que injetam códigos maliciosos em aplicativos que possuem funcionalidade legítima”, disseram eles.
Na China, cerca de três quartos dos usuários de smartphones usam o sistema Android. O iPhone tem 25% de participação de mercado, de acordo com Daniel Ives, da Wedbush Securities.
Sergey Toshin, fundador da Oversecured, disse que o malware Pinduoduo visava especificamente diferentes sistemas operacionais baseados no Android, incluindo aqueles usados pela Samsung, Huawei, Xiaomi e Oppo.
Toshin descreveu o Pinduoduo como “o malware mais perigoso” já encontrado entre os aplicativos convencionais. “Nunca vi nada assim antes. É tipo, super expansivo”, disse ele.
A maioria dos fabricantes de telefones personaliza globalmente o software principal do Android, o Android Open Source Project (AOSP), para adicionar recursos e aplicativos exclusivos a seus próprios dispositivos.
Toshin descobriu que o Pinduoduo explorou cerca de 50 vulnerabilidades do Android. A maioria das explorações foi feita sob medida para peças personalizadas conhecidas como código do fabricante de equipamento original (OEM), que tende a ser auditado com menos frequência do que o AOSP, portanto, é mais propenso a vulnerabilidades, disse.
O Pinduoduo também explorou várias vulnerabilidades do AOSP, incluindo uma que foi sinalizada por Toshin para o Google em fevereiro de 2022. O Google corrigiu o bug em março, afirmou.
De acordo com Toshin, as explorações permitiram que o Pinduoduo acessasse as localizações, contatos, calendários, notificações e álbuns de fotos dos usuários sem o consentimento deles. Ele também foi capaz de alterar as configurações do sistema e acessar as contas e bate-papos das redes sociais dos usuários.
Das seis equipes com as quais a CNN conversou, três não realizaram exames completos. Mas suas análises primárias mostraram que o Pinduoduo solicitou grande número de permissões além das funções normais de um aplicativo de compras.
Eles incluíam “permissões potencialmente invasivas”, como “definir papel de parede” e “baixar sem notificação”, disse René Mayrhofer, chefe do Instituto de Redes e Segurança da Johannes Kepler University Linz, na Áustria.
As suspeitas sobre malware no Pinduoduo foram levantadas pela primeira vez no final de fevereiro em relatório de empresa chinesa de segurança cibernética chamada Dark Navy.
Mesmo que a análise não nomeasse diretamente a gigante das compras, o relatório se espalhou rapidamente entre outros pesquisadores. Alguns dos analistas seguiram com seus próprios relatórios confirmando as descobertas originais.
Logo depois, em 5 de março, a Pinduoduo lançou nova atualização de seu aplicativo, a versão 6.50.0, que removeu os exploits, segundo dois especialistas com quem a CNN conversou.
Dois dias após a atualização, o Pinduoduo desfez a equipe de engenheiros e gerentes de produto que desenvolveram os exploits, de acordo com a fonte do Pinduoduo.
No dia seguinte, os membros da equipe se viram impedidos de acessar o aplicativo de comunicação personalizado da Pinduoduo no local de trabalho, o Knock, e perderam o acesso aos arquivos na rede interna da empresa. Os engenheiros também descobriram que seu acesso a big data, planilhas de dados e sistema de log foi revogado.
A maior parte da equipe foi transferida para trabalhar no Temu. Eles foram designados para diferentes departamentos da subsidiária, alguns trabalhando em marketing ou desenvolvendo notificações push, de acordo com a fonte.
Um grupo central de cerca de 20 engenheiros de segurança cibernética especializados em encontrar e explorar vulnerabilidades permanece no Pinduoduo.
Toshin, da Oversecured, que analisou a atualização, disse que embora os exploits tenham sido removidos, o código subjacente ainda está lá e pode ser reativado para realizar ataques.
A Pinduoduo conseguiu aumentar sua base de usuários em um cenário de repressão regulatória do governo chinês à big tech, que começou no final de 2020.
Naquele ano, o Ministério da Indústria e Tecnologia da Informação lançou repressão abrangente contra aplicativos que coletam e usam dados pessoais ilegalmente. Em 2021, Pequim aprovou sua primeira legislação abrangente sobre privacidade de dados.
A Lei de Proteção de Informações Pessoais estipula que nenhuma parte deve coletar, processar ou transmitir informações pessoais ilegalmente. Eles também estão proibidos de explorar vulnerabilidades de segurança relacionadas à Internet ou de se envolver em ações que ponham em risco a segurança cibernética.
O aparente malware do Pinduoduo seria uma violação dessas leis, dizem especialistas em políticas de tecnologia, e deveria ter sido detectado pelo regulador.
“Isso seria embaraçoso para o Ministério da Indústria e Tecnologia da Informação, porque esse é o trabalho deles”, disse Kendra Schaefer, especialista em política de tecnologia da consultoria Trivium China. “Eles deveriam verificar o Pinduoduo, e o fato de não terem encontrado (nada) é embaraçoso para o regulador.”
O ministério publica regularmente listas para nomear os aplicativos que violam a privacidade do usuário ou outros direitos. Ele também publica uma lista separada de aplicativos que são removidos das lojas de aplicativos por não cumprir os regulamentos. Contudo, o Pinduoduo não apareceu em nenhuma das listas.
A CNN entrou em contato com o Ministério da Indústria e Tecnologia da Informação e a Administração do Ciberespaço da China para comentar. Nas mídias sociais chinesas, alguns especialistas em segurança cibernética questionaram por que os reguladores não tomaram nenhuma medida.
“Provavelmente, nenhum de nossos reguladores pode entender de codificação e programação, nem eles entendem de tecnologia. Você nem consegue entender o código malicioso quando ele é empurrado bem na sua cara”, escreveu um especialista em segurança cibernética com 1,8 milhão de seguidores na semana passada em post viral no Weibo, plataforma semelhante ao Twitter. A postagem foi censurada no dia seguinte.
FONTE: OLHAR DIGITAL