Aplikasi Android dari China mengeksekusi eksploitasi 0 hari pada jutaan perangkat

Aplikasi Android yang ditandatangani secara digital oleh perusahaan e-niaga terbesar ketiga di China mengeksploitasi kerentanan zero-day yang memungkinkan mereka secara diam-diam mengendalikan jutaan perangkat pengguna akhir untuk mencuri information pribadi dan memasang aplikasi jahat, demikian dikonfirmasi oleh peneliti dari firma keamanan Lookout.

Versi berbahaya dari aplikasi Pinduoduo tersedia di pasar pihak ketiga, yang diandalkan oleh pengguna di China dan tempat lain karena pasar resmi Google Play terlarang atau tidak mudah diakses. Tidak ada versi berbahaya yang ditemukan di Play atau App Retailer Apple. Senin lalu, TechCrunch melaporkan bahwa Pinduoduo ditarik dari Play setelah Google menemukan versi berbahaya dari aplikasi yang tersedia di tempat lain. TechCrunch melaporkan aplikasi berbahaya yang tersedia di pasar pihak ketiga mengeksploitasi beberapa zero-day, kerentanan yang diketahui atau dieksploitasi sebelum vendor memiliki tambalan yang tersedia.

Serangan canggih

Analisis pendahuluan oleh Lookout menemukan bahwa setidaknya dua versi Pinduoduo untuk Android yang tidak digunakan Play mengeksploitasi CVE-2023-20963, nomor pelacakan untuk kerentanan Android yang ditambal Google dalam pembaruan yang tersedia untuk pengguna akhir dua minggu lalu. Celah eskalasi hak istimewa ini, yang dieksploitasi sebelum pengungkapan Google, memungkinkan aplikasi melakukan operasi dengan hak istimewa yang lebih tinggi. Aplikasi menggunakan hak istimewa ini untuk mengunduh kode dari situs yang ditunjuk pengembang dan menjalankannya dalam lingkungan istimewa.

Aplikasi jahat tersebut mewakili “serangan yang sangat canggih untuk malware berbasis aplikasi,” tulis Christoph Hebeisen, salah satu dari tiga peneliti Lookout yang menganalisis file tersebut, dalam sebuah e mail. “Dalam beberapa tahun terakhir, eksploitasi biasanya tidak terlihat dalam konteks aplikasi yang didistribusikan secara massal. Mengingat sifat yang sangat mengganggu dari malware berbasis aplikasi yang begitu canggih, ini merupakan ancaman penting yang perlu dilindungi oleh pengguna seluler.”

Hebeisen dibantu oleh peneliti Lookout Eugene Kolodenker dan Paul Shunk. Peneliti menambahkan bahwa analisis Lookout dipercepat dan peninjauan yang lebih menyeluruh kemungkinan akan menemukan lebih banyak eksploitasi di aplikasi.

Pinduoduo adalah aplikasi e-niaga untuk menghubungkan pembeli dan penjual. Baru-baru ini dilaporkan memiliki 751,3 juta pengguna aktif bulanan rata-rata. Meskipun masih lebih kecil dari pesaingnya di China, Alibaba dan JD.com, PDD Holdings, perusahaan induk Pinduoduo yang diperdagangkan secara publik, telah menjadi perusahaan e-niaga dengan pertumbuhan tercepat di negara tersebut.

Setelah Google menghapus Pinduoduo dari Play, perwakilan PDD Holdings membantah klaim bahwa versi aplikasinya berbahaya.

“Kami sangat menolak spekulasi dan tuduhan bahwa aplikasi Pinduoduo berbahaya dari peneliti anonim,” tulis mereka dalam e mail. “Google Play memberi tahu kami pada 21 Maret pagi bahwa Pinduoduo APP, di antara beberapa aplikasi lainnya, untuk sementara ditangguhkan karena versi saat ini tidak sesuai dengan Kebijakan Google, tetapi belum membagikan element lebih lanjut. Kami berkomunikasi dengan Google untuk informasi lebih lanjut.”

Perwakilan perusahaan tidak menanggapi e mail yang menanyakan pertanyaan lanjutan dan mengungkapkan hasil analisis forensik Lookout.

Kecurigaan tentang aplikasi Pinduoduo pertama kali muncul bulan lalu di a posting (terjemahan bahasa Inggris di sini) dari layanan penelitian yang menamakan dirinya Darkish Navy.