A Pinduoduo, uma popular aplicação chinesa de comércio eletrónico, foi responsável por infetar milhões de dispositivos Android com o malware EvilParcel. Através da exploração de uma vulnerabilidade na própria app, o software malicioso conseguiu instalar-se nos equipamentos.
O gigante Pinduoduo
A Pinduoduo está longe de ser um nome desconhecido. É a terceira maior empresa de comércio eletrónico na China — uma espécie de AliExpress — e conta com uns impressionantes 751,3 milhões de utilizadores ativos mensais.
Recentemente, a marca viu-se envolvida numa polémica após a descoberta de uma grave vulnerabilidade, conhecida como “zero-day”, na sua aplicação. Esta falha de segurança permitiu o roubo de dados pessoais de milhões de utilizadores, além da instalação de uma app maliciosa nos seus telemóveis. A informação foi revelada por investigadores da empresa de segurança Lookout (via TechCrunch).
As versões maliciosas da app da Pinduoduo não se encontravam na Google Play Store, sendo distribuídas através de lojas de aplicações de terceiros. No entanto, o escândalo acabou por ter impacto na versão oficial, que a Google removeu preventivamente da sua loja para evitar qualquer confusão sobre qual a versão segura a instalar.
Uma vulnerabilidade perigosa
A falha em questão, identificada como CVE-2023-20963, já foi corrigida há duas semanas, mas para muitos utilizadores a atualização chegou tarde demais. O método de ataque era simples: ao descarregares a app de uma fonte não oficial, concedias permissões que eram depois aproveitadas para descarregar código malicioso de um servidor controlado pelo atacante, permitindo que o malware se instalasse no teu dispositivo.
Contudo, a Pinduoduo nega as acusações. A empresa afirma que as suas aplicações nunca foram maliciosas: “Rejeitamos a especulação e a acusação de que a app Pinduoduo é maliciosa. A Google Play informou-nos na manhã de 21 de março que a nossa app, juntamente com várias outras, foi temporariamente suspensa por não cumprir as políticas atuais da Google, mas não partilhou mais detalhes. Estamos em contacto com a Google para obter mais informações.”
Verifica o teu telemóvel
Entretanto, a especulação online continua. No GitHub, por exemplo, um utilizador com o nome davinci1012 publicou o que alega ser o código de uma “Pinduoduo backdoor” (porta das traseiras). Este e outros indícios sugerem que se tratou, de facto, de um ataque deliberado e direcionado.
Por precaução, verifica se tens esta aplicação instalada no teu smartphone e, em caso afirmativo, remove-a imediatamente — mesmo que seja a versão que consideras “verdadeira”. Se a Google decidiu retirá-la da Play Store, o mais provável é que também não a queiras no teu telemóvel, tão perto dos teus dados pessoais.
