Kaspersky Lab의 보안 연구원들은 Google이 공식 Play Store에서 Pinduoduo 앱을 제거한 후 Pinduoduo 앱에 악성 코드가 포함되어 있음을 확인했다고 Bloomberg가 어제 보도했습니다 .
악성 코드에 대한 최초의 공개 보고서 중 하나에서 Kaspersky는 앱이 사용자 개인 정보 및 데이터 보안을 손상시키기 위해 자체적으로 상승하는 방법을 설명했습니다 . 화웨이, 텐센트, 샤오미 등 중국 현지 앱 스토어를 통해 배포된 앱 버전을 테스트했다.
카스퍼스키가 블룸버그와 공유한 이번 조사 결과는 지난주 구글의 행동과 맬웨어 경고를 촉발한 독립 보안팀의 가장 명확한 설명 중 하나다. 역사상 가장 큰 사이버 공격 중 일부를 발견하는 데 중요한 역할을 한 이 사이버 보안 회사는 초기 버전의 Pinduoduo가 시스템 소프트웨어 취약성을 악용하여 백도어를 설치하고 사용자 데이터 및 알림에 대한 무단 액세스 권한을 얻은 증거를 발견했다고 말했습니다.
Bloomberg News는 아직 이전 보고서의 진실성을 확인하지 않았지만 이러한 결론은 지난 몇 주 동안 다른 연구원이 온라인에 게시한 내용과 대체로 일치합니다.
현재 Weibo에서 이 문제에 대한 논의가 뜨거운 검색 목록에 올랐습니다.
사이버 보안 전문가 @sunwear도 이 문제에 대해 다음과 같이 말했습니다 .
Kaspersky Lab 외에도 다른 보안 회사인 Lookout의 연구원이 Google Play 이외 버전의 Pinduoduo 앱을 분석한 결과 독립 보안 연구 기관인 DarkNavy의 주장 도 확인되었습니다 . 예비 분석에 따르면 Pinduoduo 앱의 Play가 아닌 버전이 최소 두 개 이상 CVE-2023-20963 취약점을 악용하는 것으로 나타났습니다.
이 취약점은 3월 6일 Google에 의해 공개되었습니다. 이 취약점을 사용하면 권한을 상승시킬 수 있으며 전체 프로세스에 사용자 상호 작용이 필요하지 않습니다. 수정 사항은 2주 전에 최종 사용자에게만 제공되었습니다.
Lookout의 연구원들은 3월 5일 이전에 출시된 Pinduoduo의 두 가지 버전을 분석했으며, 두 버전 모두 CVE-2023-20963을 악용하는 코드를 포함하고 있습니다. 두 버전 모두 Pinduoduo Google Play 버전과 동일한 키로 서명되었습니다.
현재 Play 스토어와 Apple의 App Store에 있는 버전에 악성 코드가 포함되어 있다는 증거는 없으며 Google 및 Apple의 공식 스토어를 통해 다운로드한 Pinduoduo 앱은 안전합니다. 그러나 타사 시장을 통해 다운로드한 Android 사용자는 그렇게 운이 좋지 않습니다.
어제 OSCHINA WeChat 공식 계정에서 이전에 보도된 관련 기사 "안드로이드 취약점의 세부 사항을 악용하는 국내 전자 상거래 앱: 임베디드 권한 에스컬레이션 코드, Dex의 동적 배포" 불만 유형 Pinduoduo의 주요 회사로부터 불만을 접수했습니다. " 콘텐츠 침해 평판/영업권/개인 정보 보호/초상화 "입니다. 다만 기사는 처음부터 끝까지 어느 회사, 어떤 앱인지는 밝히지 않았다.
추가 읽기
- 안드로이드 취약점을 악용한 국내 전자상거래 APP의 상세내역 노출: 임베디드 권한 에스컬레이션 코드, Dex 동적 전달
- Pinduoduo 악성 행위 분석 보고서
- Pinduoduo apk 임베디드 권한 에스컬레이션 코드 및 동적 dex 분석
업데이트:
3월 28일, China Business News는 Kaspersky에게 Pinduoduo 앱에 악성 코드가 포함되어 있다는 사실에 대해 질문했습니다.
Kaspersky는 다음과 같이 CBN에 응답했습니다. 보안 연구원 Igor Golovin으로부터 Pinduoduo APP의 일부 버전에 악성 코드가 포함되어 있고 알려진 Android 취약점을 악용하여 권한을 상승시키고 추가 악성 모듈을 다운로드 및 실행하며 그 중 일부는 사용자에 대한 액세스 권한을 얻었다는 의견을 받았습니다. 알림 및 파일. 당사 제품은 이러한 버전을 HEUR:Backdoor.AndroidOS.Pinduo.a로 감지합니다. 감염된 앱 버전은 로컬 앱 스토어를 통해 배포됩니다.
Kaspersky는 배경 정보로 이 악성 버전을 찾지 못했고 탐지만 했다고 밝혔습니다. 즉, 악성코드가 포함된 버전은 Kaspersky가 처음 발견한 버전이 아닙니다. 그러나 Kaspersky는 이 버전에서 악성 코드를 감지했습니다 .
출처: https://finance.sina.com.cn/tech/roll/2023-03-28/doc-imynkyaa1518200.shtml