Global - Agência de Notícias Ekhbary
Gigante chinês do e-commerce Pinduoduo sob fogo por suposto malware sofisticado que explora dispositivos Android
Em uma revelação profundamente preocupante para a privacidade digital e a cibersegurança, Pinduoduo, um dos aplicativos de compras mais populares da China, com mais de 750 milhões de usuários mensais, está sendo acusado de implantar malware sofisticado para contornar as medidas de segurança de telefones celulares. Uma investigação abrangente indica que o aplicativo supostamente monitorou atividades de usuários em outros aplicativos, acessou mensagens privadas, verificou notificações e até alterou configurações do dispositivo sem o consentimento explícito do usuário, levantando alarmes significativos entre especialistas em cibersegurança globalmente.
Essas descobertas sérias surgiram de uma extensa investigação da CNN, que envolveu a colaboração com meia dúzia de equipes de cibersegurança da Ásia, Europa e Estados Unidos, bem como insights de funcionários atuais e antigos da Pinduoduo. Especialistas de firmas proeminentes como WithSecure, Check Point Research e Oversecured verificaram independentemente a presença de código malicioso dentro do aplicativo Pinduoduo, especificamente a versão 6.49.0, que foi distribuída por meio de lojas de aplicativos chinesas no final de fevereiro.
Leia também
- Infraestrutura do Centro Espacial Kennedy Inadequada para Foguetes Super Pesados, Aponta Relatório
- GM instala robôs em fábrica de EVs, apesar de 1.300 demissões
- Serviços de Streaming com Testes Gratuitos em 2026: Onde Encontrar?
- Como Assistir Noruega x Senegal na Copa do Mundo 2026 Gratuitamente Online
- Grandes Ofertas de Fones de Ouvido no Prime Day 2026 da Amazon
Mikko Hyppönen, diretor de pesquisa da empresa finlandesa de cibersegurança WithSecure, descreveu a situação como "altamente incomum" e "bastante condenatória". Ele afirmou: "Nunca vimos um aplicativo mainstream como este tentando escalar seus privilégios para obter acesso a coisas que não deveria ter acesso." Essa "escalada de privilégios" é um elemento chave do suposto malware, permitindo que o aplicativo adquira níveis elevados de acesso aos dados do dispositivo, contornando eficazmente os recursos de segurança inerentes do Android. O aplicativo foi projetado para operar persistentemente em segundo plano, resistir a tentativas de desinstalação e até mesmo coletar informações sobre aplicativos concorrentes rastreando seu uso e extraindo dados.
Insiders anônimos da empresa, temendo retaliação, revelaram que a Pinduoduo supostamente formou uma equipe especializada de aproximadamente 100 engenheiros e gerentes de produto em 2020. Sua suposta missão era identificar e explorar vulnerabilidades em telefones Android, alavancando essas explorações para vantagem competitiva e lucro. Inicialmente, esta equipe supostamente se concentrou em usuários em áreas rurais e cidades menores, evitando deliberadamente grandes centros urbanos como Pequim e Xangai para minimizar os riscos de detecção precoce. Ao acumular grandes quantidades de dados de usuários sobre hábitos, interesses e preferências, a empresa visava refinar seus modelos de aprendizado de máquina, permitindo notificações push e anúncios altamente personalizados para impulsionar o engajamento e as vendas. Esta equipe controversa foi supostamente dissolvida no início de março após escrutínio interno.
Sergey Toshin, fundador da startup de segurança de aplicativos Oversecured, com sede em Delaware, rotulou o malware da Pinduoduo como "o malware mais perigoso" que ele já havia encontrado em um aplicativo mainstream, descrevendo-o como "super expansivo". A extensa pesquisa de Toshin indicou que o aplicativo explorou cerca de 50 vulnerabilidades do sistema Android. Muitos desses exploits foram especificamente criados para o código do fabricante de equipamentos originais (OEM), que é frequentemente menos auditado do que o código principal do Projeto de Código Aberto do Android (AOSP), tornando-o mais suscetível a vulnerabilidades. Pinduoduo também supostamente explorou várias vulnerabilidades do AOSP, incluindo uma que Toshin levou à atenção do Google em fevereiro de 2022, e que o Google posteriormente corrigiu em março.
Para complicar ainda mais a detecção, a Check Point Research identificou métodos sofisticados usados pelo aplicativo para evadir o escrutínio. Estes incluíam a capacidade de enviar atualizações sem passar pelo processo de revisão padrão da loja de aplicativos, que é projetado para identificar e bloquear aplicativos maliciosos. Além disso, alguns plugins supostamente ocultavam componentes potencialmente prejudiciais mascarando-os sob nomes de arquivos legítimos, uma tática comum empregada por desenvolvedores de malware avançados para injetar código malicioso em aplicativos aparentemente inofensivos.
Essas revelações surgem em um momento de intensificação do exame global de aplicativos desenvolvidos na China, particularmente o TikTok, impulsionado por preocupações persistentes sobre a segurança dos dados e possíveis laços com o governo chinês. Embora não haja evidências diretas de que a Pinduoduo tenha compartilhado dados com Pequim, a significativa influência que o governo chinês exerce sobre as empresas nacionais alimentou as ansiedades entre os legisladores dos EUA. Eles temem que qualquer empresa que opere na China possa ser forçada a cooperar com as diretrizes de segurança nacional, destacando uma complexa dimensão geopolítica para esta questão.
A decisão do Google de suspender o Pinduoduo de sua Play Store em março, citando malware encontrado em versões do aplicativo fora da Play Store, sublinhou a gravidade da situação. Um relatório subsequente da Bloomberg corroborou essas preocupações, afirmando que uma empresa russa de cibersegurança também havia identificado malware potencial. A empresa-mãe da Pinduoduo, PDD, não respondeu aos repetidos pedidos de comentários da CNN, embora a Pinduoduo tenha anteriormente negado "a especulação e a acusação de que o aplicativo Pinduoduo é malicioso".
Notícias relacionadas
- A Ascensão do Mini LED: Por que esta oferta de TV TCL supera as alternativas OLED mais caras
- A Rigorosa Metodologia de Testes de Fones de Ouvido da ZDNET em 2026: Um Guia Essencial para o Consumidor
- Garantindo a Confiança: Os Padrões Rigorosos por Trás das Análises Tecnológicas Independentes
- Super Bowl: A Prancheta Definitiva para Seahawks vs. Patriots
- Swami Sez: Chris Berman escolhe o vencedor do Super Bowl LX
A controvérsia projeta inevitavelmente uma longa sombra sobre a Temu, aplicativo irmão internacional da Pinduoduo em rápida expansão, que recentemente alcançou as primeiras posições nas paradas de download nos mercados ocidentais, incluindo os EUA. Ambos os aplicativos são de propriedade da PDD, listada na Nasdaq. Embora a Temu não tenha sido diretamente implicada nessas alegações específicas de malware, as ações atribuídas à Pinduoduo correm o risco de corroer a confiança global dos usuários e intensificar o escrutínio regulatório de todos os aplicativos de desenvolvedores chineses. Isso poderia potencialmente impedir os ambiciosos planos de expansão global da Temu e serve como um duro lembrete dos desafios persistentes na salvaguarda dos ecossistemas digitais contra ameaças em evolução e da intrincada relação entre tecnologia, privacidade e política internacional.