imágenes falsas
Las aplicaciones de Android firmadas digitalmente por la tercera empresa de comercio electrónico más grande de China explotaron una vulnerabilidad de día cero que les permitió tomar el control subrepticiamente de millones de dispositivos de usuarios finales para robar datos personales e instalar aplicaciones maliciosas, confirmaron investigadores de la firma de seguridad Lookout.
Las versiones maliciosas de la aplicación Pinduoduo estaban disponibles en mercados de terceros, en los que confían los usuarios de China y otros lugares porque el mercado oficial de Google Play está prohibido o no es de fácil acceso. No se encontraron versiones maliciosas en Play o en la App Store de Apple. El lunes pasado, Heaven32 informó que Pinduoduo fue retirado de Play después de que Google descubriera una versión maliciosa de la aplicación disponible en otros lugares. Heaven32 informó que las aplicaciones maliciosas disponibles en mercados de terceros explotaron varias vulnerabilidades de día cero que se conocen o explotan antes de que un proveedor tenga un parche disponible.
Ataque sofisticado
Un análisis preliminar realizado por Lookout encontró que al menos dos versiones fuera de Play de Pinduoduo para Android explotaron CVE-2023-20963, el número de seguimiento de una vulnerabilidad de Android. Google parcheado
Las aplicaciones maliciosas representan “un ataque muy sofisticado para un malware basado en aplicaciones”, escribió en un correo electrónico Christoph Hebeisen, uno de los tres investigadores de Lookout que analizaron el archivo. “En los últimos años, los exploits generalmente no se han visto en el contexto de las aplicaciones distribuidas en masa. Dada la naturaleza extremadamente intrusiva de un malware basado en aplicaciones tan sofisticado, esta es una amenaza importante contra la que los usuarios móviles deben protegerse”.
Hebeisen contó con la asistencia de los investigadores de Lookout Eugene Kolodenker y Paul Shunk. El investigador agregó que el análisis de Lookout se aceleró y que una revisión más exhaustiva probablemente encuentre más vulnerabilidades en la aplicación.
Pinduoduo es una aplicación de comercio electrónico para conectar compradores y vendedores. Recientemente Fue reportado tener 751,3 millones de usuarios activos mensuales promedio. Si bien aún es más pequeño que sus rivales chinos Alibaba y JD.com, Participaciones de PDDla empresa matriz de Pinduoduo que cotiza en bolsa, se ha convertido en la empresa de comercio electrónico de más rápido crecimiento en ese país.
Después de que Google eliminó a Pinduoduo de Play, los representantes de PDD Holdings negaron las afirmaciones de que cualquiera de sus versiones de la aplicación fuera maliciosa.
“Rechazamos enérgicamente la especulación y la acusación de que la aplicación Pinduoduo es maliciosa por parte de un investigador anónimo”, escribieron en un correo electrónico. “Google Play nos informó el 21 de marzo por la mañana que la aplicación Pinduoduo, entre varias otras aplicaciones, se suspendió temporalmente porque la versión actual no cumple con la Política de Google, pero no ha compartido más detalles. Nos estamos comunicando con Google para obtener más información”.
Los representantes de la empresa no respondieron a los correos electrónicos que hacían preguntas de seguimiento y divulgaban los resultados del análisis forense de Lookout.
Las sospechas sobre la aplicación Pinduoduo surgieron por primera vez el mes pasado en un correo (Traducción en inglés aquí) de un servicio de investigación que se hace llamar Dark Navy.
La traducción al inglés decía que “los fabricantes de Internet conocidos continuarán investigando nuevas vulnerabilidades relacionadas con Android OEM e implementarán ataques de vulnerabilidad en los principales sistemas de telefonía móvil en el mercado actual en sus aplicaciones lanzadas públicamente”. La publicación no nombraba a la empresa ni a la aplicación, pero sí decía que la aplicación usaba un “paquete de serialización y deserialización de paquetes de feng shui-Android”. [exploit] eso parece desconocido en los últimos años”. La publicación incluía varios fragmentos de código encontrados en la aplicación supuestamente maliciosa. Una de esas cadenas es “LuciferStrategy”.