Estas aplicaciones ejecutaron un exploit de día cero en millones de dispositivos Android

Las aplicaciones de Android firmadas digitalmente por la tercera empresa de comercio electrónico más grande de China explotaron una vulnerabilidad de día cero. La vulnerabilidad les permitió tomar el control subrepticiamente de millones de dispositivos de usuarios finales para robar datos personales e instalar aplicaciones maliciosas, según confirmaron investigadores de la firma de seguridad Lookout.

Las versiones maliciosas de la aplicación Pinduoduo estaban disponibles en sitios de terceros, en los que confían los usuarios de China y otros lugares porque en el sitio oficial de Google Play está prohibido o no es de fácil acceso. No se encontraron versiones maliciosas en Google Play Store o en la App Store de Apple. El lunes pasado, TechCrunch informó que Pinduoduo fue retirado de Google Play después de que Google descubriera una versión maliciosa de la aplicación disponible en otros lugares. TechCrunch informó que las aplicaciones maliciosas disponibles en sitios de terceros explotaron varias vulnerabilidades de día cero. Por si no lo sabes, este tipo de vulnerabilidades se conocen o explotan antes de que el proveedor tenga un parche disponible.

Ataque sofisticado

Un análisis preliminar realizado por Lookout encontró que al menos dos versiones fuera de Google Play de Pinduoduo para Android explotaron CVE-2023-20963. Este es el número de identificación de una vulnerabilidad de Android que Google parchó en las actualizaciones que estuvieron disponibles para los usuarios finales hace dos semanas. La vulnerabilidad de escalada de privilegios, que se explotó antes de la divulgación de Google, permitió que la aplicación realizara operaciones con privilegios elevados. Dicha aplicación utilizó estos privilegios para descargar código de un sitio designado por el desarrollador y ejecutarlo en un entorno privilegiado.

Las aplicaciones maliciosas representan “un ataque muy sofisticado para un malware basado en aplicaciones”, escribió en un correo electrónico Christoph Hebeisen, uno de los tres investigadores de Lookout que analizaron el archivo. 

“En los últimos años, los exploits generalmente no se han visto en el contexto de las aplicaciones distribuidas en masa. Dada la naturaleza extremadamente intrusiva de un malware basado en aplicaciones tan sofisticado, esta es una amenaza importante contra la que los usuarios móviles deben protegerse”.

Hebeisen contó con la asistencia de los investigadores de Lookout Eugene Kolodenker y Paul Shunk. El investigador agregó que el análisis de Lookout fue rápido y que una revisión más exhaustiva probablemente encuentre más vulnerabilidades en la aplicación.

Pinduoduo es una aplicación de comercio electrónico para conectar compradores y vendedores. Recientemente se reportó que tiene 751.3 millones de usuarios activos mensuales promedio. Si bien aún es más pequeña que sus rivales chinos Alibaba y JD.com, PDD Holdings, la empresa matriz de Pinduoduo que cotiza en bolsa, se ha convertido en la empresa de comercio electrónico de más rápido crecimiento en ese país.

Empresa rechaza acusaciones

“Rechazamos enérgicamente la especulación y la acusación por parte de un investigador anónimo de que la aplicación Pinduoduo es maliciosa. Google Play nos informó el 21 de marzo por la mañana que la aplicación Pinduoduo, entre varias otras aplicaciones, se suspendió temporalmente porque la versión actual no cumple con la Política de Google, pero no ha compartido más detalles. Nos estamos comunicando con Google para obtener más información”.

Declaración de la empresa por correo electrónico 

Los representantes de la empresa no respondieron a los correos electrónicos que hacían preguntas de seguimiento y divulgaban los resultados del análisis forense de Lookout.

Las sospechas sobre la aplicación Pinduoduo surgieron por primera vez el mes pasado en una publicación de un servicio de investigación que se hace llamar Dark Navy.

La traducción del informe afirma que “los fabricantes de Internet conocidos continuarán investigando nuevas vulnerabilidades relacionadas con Android OEM e implementarán ataques de vulnerabilidad en los principales sistemas de telefonía móvil en el mercado actual en sus aplicaciones lanzadas públicamente”. La publicación no nombraba a la empresa ni a la aplicación, pero sí decía que la aplicación usaba un “paquete de serialización y deserialización de paquetes de feng shui-Android [exploit] que parece desconocido en los últimos años”. La publicación incluía varios fragmentos de código encontrados en la aplicación supuestamente maliciosa. Una de esas cadenas es “LuciferStrategy“.

Hallazgos y más hallazgos… 

Unas semanas más tarde, alguien con el nombre de usuario davinci1012 realizó una publicación en Github con el nombre “Pinduoduo backdoor“. Se refería a la publicación de Dark Navy y proporcionaba el código y los pasos que los investigadores podían seguir para evadir las defensas contra el análisis y encontrar un presunto exploit en las aplicaciones de Pinduoduo para Android publicadas antes del 5 de marzo. Una publicación de seguimiento de Github unos días después incluyó aún más detalles que afirmaban mostrar la funcionalidad maliciosa en las aplicaciones de Pinduoduo. Google eliminó la aplicación Pinduoduo de Google Play unos días después de que se realizara la segunda publicación de davinci1.

El análisis forense de Lookout de dos muestras de la aplicación Pinduoduo APK publicadas antes del 5 de marzo, —una con la firma criptográfica SHA256 3c5a0eba055633f0444b9f69ae70dc93938ecb6b5df34d8e677c96d7c77f113f y la otra 234aa7a4a70026e0585a3bf2acae1cb21d414aeb6f3d76945e92, determinaron que ambas contienen un código malicioso que explota CVE-2023-20963. CVE-2023-20963 es la vulnerabilidad de escalada de privilegios de Android que no se haría pública hasta el 6 de marzo y se parchearía en los dispositivos de los usuarios hasta dos semanas después. Ambas APKs maliciosas se firmaron con la misma clave de firma privada utilizada para firmar la aplicación benigna Pinduoduo disponible en Google Play.

Según la publicación de DarkNavy, la aplicación maliciosa Pinduoduo incluye una funcionalidad que permite que la aplicación se instale de forma encubierta sin posibilidad de desinstalación, inflando falsamente la cantidad de usuarios activos diarios y mensuales de Pinduoduo. Pero eso no es todo, también desinstala aplicaciones de la competencia, roba datos de privacidad del usuario, y evade varias regulaciones de cumplimiento de privacidad.

Investigadores reivindicados

El análisis de Lookout se realizó en un lapso de dos días, que no es tiempo suficiente para revisar todos los aspectos técnicos relevantes de las dos muestras de la aplicación Pinduoduo. Para complicar aún más el análisis está la descarga de un payload de segunda etapa de Internet. Lookout no ha podido atribuirlo a PDD Holdings ya que esta etapa no está firmada digitalmente.

No obstante, el análisis parece validar la precisión del artículo de Dark Navy. Además de determinar la presencia del día cero de Android, también descubrió evidencia de:

• Adición de widgets a dispositivos infectados
• Seguimiento de las estadísticas de uso de las aplicaciones instaladas
• Análisis de notificaciones
• Acceder a la información de ubicación y Wi-Fi

“Estamos lejos de tener una imagen total  y completa de lo que hacen todos (en total, hay más de 30 archivos DEX), pero el análisis preliminar esencialmente parece respaldar las afirmaciones. También hay un código que parece ser consistente con la prevención de la desinstalación de aplicaciones. Entonces, por lo que podemos ver, las afirmaciones parecen reflejar lo que hay en los archivos”.

Hebeisen

Hay otras consistencias. Por un lado, la cadena “LuciferStrategy” que se muestra en la publicación de Dark Navy aparece en las muestras analizadas por Lookout. Además, la cadena de exploits analizada utiliza EvilParcel, una clase de exploit para vulnerabilidades de escalada de privilegios que ha estado en uso desde 2012. Dark Navy describió el día cero explotado por la aplicación como un exploit de “serialización y deserialización del paquete feng shui-Android”, una descripción que (permitiendo la traducción) captura con precisión la esencia de EvilParcel.

Exploits

“Los exploits de EvilParcel son una clase de exploits dirigidos a un conjunto relacionado de vulnerabilidades, de las cuales CVE-2023-20963 es una. Estos exploits permiten el uso de una antigua técnica de escalada de privilegios (originalmente de 2012) que fue parcheada Sin embargo, esa solución ahora se puede evadir con EvilParcel”.

Kolodenker de Lookout

La publicación de Dark Navy hace referencia a otro día cero de Android identificado como CVE-2021-25337 que Google descubrió que estaba siendo explotado en los teléfonos Samsung. No hay indicios de que la aplicación maliciosa Pinduoduo haya explotado esta vulnerabilidad en absoluto.

Con pocas dudas de que el código de explotación de día cero aparece en al menos dos muestras de la aplicación Pinduoduo firmadas con la clave oficial, hay algunas conclusiones posibles. El código podría estar presente debido a:

• Una distribución intencional de código malicioso por parte de los desarrolladores de Pinduoduo
• El trabajo de un infiltrado malicioso
• Una clave secreta filtrada obtenida por una parte externa
• Un ataque a la cadena de suministro que comprometió el sistema de creación de software para la aplicación Pinduoduo

Dadas las circunstancias, parece justificada la eliminación de Pinduoduo de Google Play.

Sin evidencia de versiones maliciosas en Google Play o App Store, los usuarios de Pinduoduo que obtuvieron su aplicación de cualquiera de estas fuentes no se ven afectados. Los usuarios de Android que obtuvieron su aplicación de un sitio externo, como prácticamente todos en China, no tienen tanta suerte. No se sabe cuántas descargas de terceros tiene Pinduoduo, pero dado el amplio alcance de la aplicación, el número seguramente es de millones, si no cientos de millones.