Pinduoduo, de populairste app in China, heeft de beveiligingssystemen van telefoons omzeild en gebruikers bespioneerd. Het had zelfs toegang tot privégesprekken. Experts zijn dan ook bezorgd: “Gevaarlijkste malware die ooit in app werd gevonden.”

Pinduoduo is een Chinese app waarop je bijna alles kan kopen. Het begon met alleen voedingsmiddelen, maar inmiddels zijn ook kleding, elektronica en meubels te koop in de app. Met meer dan 750 miljoen gebruikers per maand is het zelfs de populairste app van China. Ze is alleen te gebruiken in China zelf, maar eigenaar PDD Holdings verkoopt met de app Temu ook spullen in de VS, Canada, Australië en Nieuw-Zeeland.

Onbesproken is de app allerminst. In februari al verdacht het Chinese cyberveiligheidsbedrijf Dark Navy Pinduoduo ervan malware te gebruiken, en in maart verwijderde Google de app uit zijn Playstore. Pinduoduo ontkende dat het zijn gebruikers bespioneerde, maar CNN besloot de zaak toch verder te onderzoeken. De zender benaderde wereldwijd zes onderzoeksteams, waarvan er drie de zaak grondig hebben bestudeerd. En de experts zijn geschrokken door wat ze ontdekten. “Dit is de gevaarlijkste malware die ooit in een grote app gevonden is”, zegt oprichter van cyberveiligheidsapp Oversecured Sergey Toshin. “Ik heb nog nooit zoiets gezien. Het is heel uitgebreid.”

Volgens de onderzoekers kan de app via malware beveiligingssystemen omzeilen om te kijken wat iemand op andere apps doet, om meldingen en privéberichten te bekijken en zelfs om de instellingen van de telefoon te veranderen. Dat zou ze doen om een profiel van de gebruikers te maken, zodat de app meer verkoopt. Bewijs dat de app die gegevens ook met de Chinese overheid heeft gedeeld, is er niet.

Een medewerker van Pinduoduo zegt tegen CNN dat de app in 2020 een team van honderd personen samenstelde om op zoek te gaan naar zwakke punten in het beveiligingssysteem van Android-telefoons, en hoe ze die konden benutten. Zo zou het bedrijf meer winst hebben willen maken. De medewerker zegt dat Pinduoduo zo namelijk een profiel kon maken van de gewoontes, interesses en voorkeuren van de gebruikers, waardoor het persoonlijke pushmeldingen en advertenties kon plaatsen.

Volgens de medewerker is dat team in maart opgeheven. Twee experts zeggen tegen CNN dat de app toen ook werd geüpdatet, waardoor de malware weggehaald werd. De onderliggende code zit volgens cyberveiligheidsexpert Toshin echter nog wel in de app, waardoor de spionage op elk moment weer gestart kan worden.