蓋蒂圖片社
安全公司 Lookout 的研究人員證實,由中國第三大電子商務公司數字簽名的 Android 應用程序利用了一個零日漏洞,使他們能夠暗中控制數百萬最終用戶設備以竊取個人數據並安裝惡意應用程序。
拼多多應用程序的惡意版本在第三方市場上可用,中國和其他地方的用戶依賴第三方市場,因為官方 Google Play 市場是禁區或不易訪問。 在 Play 或 Apple 的 App Store 中未發現惡意版本。 上週一, TechCrunch 報導 在谷歌發現該應用程序的惡意版本在其他地方可用後,拼多多已從 Play 中下架。 TechCrunch 報告說,第三方市場上可用的惡意應用程序利用了幾個零日漏洞,這些漏洞在供應商提供可用補丁之前就已知或已被利用。
複雜的攻擊
Lookout 初步分析發現,至少有兩個 Android 版拼多多下架版本利用了 CVE-2023-20963,這是一個 Android 漏洞的跟踪號 谷歌修補 在兩週前提供給最終用戶的更新中。 這個提權漏洞在谷歌披露之前就已被利用,它允許該應用程序以提權的方式執行操作。 該應用程序使用這些權限從開發人員指定的站點下載代碼並在特權環境中運行。
分析該文件的三名 Lookout 研究人員之一克里斯托夫·河北森 (Christoph Hebeisen) 在一封電子郵件中寫道,這些惡意應用程序代表了“針對基於應用程序的惡意軟件的非常複雜的攻擊”。 “近年來,在大規模分發應用程序的環境中通常不會看到漏洞利用。 鑑於此類複雜的基於應用程序的惡意軟件極具侵入性,這是移動用戶需要防範的重要威脅。”
Hebeisen 得到了 Lookout 研究人員 Eugene Kolodenker 和 Paul Shunk 的協助。 研究人員補充說,Lookout 的分析已經加快,更徹底的審查可能會在該應用程序中發現更多漏洞。
拼多多是一款連接買家和賣家的電子商務應用程序。 它最近 已經報導 擁有 7.513 億平均每月活躍用戶。 雖然仍比其中國競爭對手阿里巴巴和京東小, 拼多多控股拼多多的上市母公司,已成為該國發展最快的電子商務公司。
在谷歌從 Play 中刪除拼多多後,拼多多的代表否認了其任何應用程序版本是惡意的說法。
“我們強烈拒絕匿名研究人員對拼多多應用程序惡意的猜測和指責,”他們在一封電子郵件中寫道。 “Google Play 於 3 月 21 日上午通知我們,由於當前版本不符合 Google 的政策,拼多多 APP 以及其他幾個應用程序被暫時停用,但沒有透露更多細節。 我們正在與穀歌溝通以獲取更多信息。”
公司代表沒有回复詢問後續問題和披露 Lookout 取證分析結果的電子郵件。
對拼多多應用程序的懷疑於上個月首次浮出水面 郵政 (英文翻譯 這裡) 來自一個自稱為“黑暗海軍”的研究機構。
英文翻譯稱“知名互聯網廠商將繼續挖掘新的Android OEM相關漏洞,並在其公開發布的應用程序中實施針對當前市場主流手機系統的漏洞攻擊。” 該帖子沒有提到公司或應用程序的名稱,但確實說該應用程序使用了“捆綁風水-Android包裹序列化和反序列化” [exploit] 這似乎是近年來不為人知的。” 該帖子包含在涉嫌惡意應用程序中發現的幾個代碼片段。 其中一個字符串是“LuciferStrategy”。