卡巴斯基称拼多多 App 包含恶意代码

[根据彭博社昨日的报道](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.bloomberg.com%2Fnews%2Farticles%2F2023-03-27%2Fpinduoduo-app-malware-detailed-by-cybersecurity-researchers)，卡巴斯基实验室的安全研究人员证实拼多多 App 包含恶意代码，此前谷歌已将其从官方应用商店 Play Store 中下架。

![img](http://doc.xiqi.site/media/202303/2023-03-29_060706_5657710.7706338634173454.png)

![img](http://doc.xiqi.site/media/202303/2023-03-29_060705_7112640.149124993748191.png)![img](http://doc.xiqi.site/media/202303/2023-03-29_060706_0757730.4105336966737123.png)

在对恶意代码的首批公开报告之一中，**卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全**。它测试了通过中国本地应用商店分发的应用版本 —— 包含来自华为、腾讯和小米的应用市场。

卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用，该公司表示，它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。

这些结论在很大程度上与过去几周其他研究人员在网上发布的结论一致，尽管彭博新闻社尚未证实早期报道的真实性。

目前微博上关于此事的讨论已上榜热搜。

![img](http://doc.xiqi.site/media/202303/2023-03-29_060706_1900900.9960017840337001.png)

网络安全专家 @sunwear 也[发表](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fweibo.com%2F1865990891%2FMzg6s2z5X%3Fpagetype%3Dprofilefeed)了对此事的看法：

![img](http://doc.xiqi.site/media/202303/2023-03-29_060707_0451150.21125890367409206.png)

除了卡巴斯基实验室，另外一家安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的[分析](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Farstechnica.com%2Finformation-technology%2F2023%2F03%2Fandroid-app-from-china-executed-0-day-exploit-on-millions-of-devices%2F)也确认了独立安全研究机构 DarkNavy 的[指控](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FP_EYQxOEupqdU0BJMRqWsw)。初步分析显示，至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。

[该漏洞是 Google 在 3 月 6 日公开的](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fsource.android.com%2Fdocs%2Fsecurity%2Fbulletin%2F2023-03-01%3Fhl%3Dzh-cn)，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。

![img](http://doc.xiqi.site/media/202303/2023-03-29_060706_1179470.16326898772060117.png)

Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本，都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。

目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码，通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。

---

昨日，OSCHINA 微信公众号此前报道的相关文章[《某国产电商 APP 利用 Android 漏洞细节曝光：内嵌提权代码、动态下发 Dex》](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FDgaXuaJF8KiOIHeyvTSOpQ)收到了来自拼多多主体公司的投诉，投诉类型是 “**内容侵犯名誉 / 商誉 / 隐私 / 肖像**”。然而那篇文章从头到尾都没有指名道姓地说是哪家公司、哪款 APP。

![img](http://doc.xiqi.site/media/202303/2023-03-29_060706_3787190.9433654973848293.jpeg)

---

**延伸阅读**

-   [某国产电商 APP 利用 Android 漏洞细节曝光：内嵌提权代码、动态下发 Dex](https://www.oschina.net/news/231879)
    
-   [拼多多恶意行为分析报告](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fgithub.com%2Fdavincifans101%2Fpinduoduo_backdoor_detailed_report%2Fblob%2Fmain%2Freport_cn.pdf)
    
-   [拼多多 apk 内嵌提权代码，及动态下发 dex 分析](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fgithub.com%2Fdavinci1010%2Fpinduoduo_backdoor)

> update：
> 
> 3 月 28 日，第一财经就卡巴斯基发现拼多多 App 包含恶意代码一事进行了询问。
> 
> 卡巴斯基对第一财经回应称：已经从安全研究员 Igor Golovin 那里得到了评论，拼多多 APP 的部分版本包含恶意代码，利用已知的 Android 漏洞提权，下载并执行额外的恶意模块，其中一些还获得了访问用户通知和文件的权限。我们的产品将这些版本检测为 HEUR:Backdoor.AndroidOS.Pinduo.a。该应用程序的受感染版本是通过一个本地应用程序商店分发的。
> 
> 卡巴斯基同时表示，作为背景信息，我们没有发现这个恶意版本，我们只是检测到它。换言之，**含恶意代码的版本不是卡巴斯基第一个发现的。但是在该版本中卡巴斯基确实监测出了恶意代码**。
> 
> 来源：[https://finance.sina.com.cn/tech/roll/2023-03-28/doc-imynkyaa1518200.shtml](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Ffinance.sina.com.cn%2Ftech%2Froll%2F2023-03-28%2Fdoc-imynkyaa1518200.shtml)