Популярний китайський Pinduoduo шпигунський додаток обслуговує понад 750 мільйонів користувачів щомісяця, продаючи одяг, продукти та різні товари. Але дослідження кібербезпеки показують, що він може обходити системи безпеки Android, відслідковувати дії в інших додатках, читати приватні повідомлення та змінювати налаштування телефону.
Експерти відзначають, що такі дії значно перевищують стандартний збір даних і є серйозним порушенням приватності. Mikko Hyppönen з фінської компанії WithSecure заявив: «Ми ніколи не бачили, щоб звичайний додаток намагався отримати доступ до того, що йому не належить. Це дуже серйозно дискредитує Pinduoduo».
Згідно з джерелами, команда Pinduoduo у 2020 році почала шукати уразливості в Android і використовувала їх для збору даних користувачів. Команда розробляла методи, що дозволяли додатку працювати у фоновому режимі, уникати видалення та покращувати персоналізовану рекламу. Цю групу розформували у березні 2025 року після того, як діяльність стала відомою.
Дослідження незалежних компаній, включаючи Check Point Research і Oversecured, підтвердили наявність коду для «привілейованого доступу» (privilege escalation), що дозволяв додатку отримувати доступ до локацій, контактів, календарів, фото та повідомлень без дозволу користувачів.
Раніше Google тимчасово видалив Pinduoduo шпигунський додаток з Play Store через шкідливе програмне забезпечення у китайських версіях. Хоча додаток не передавав дані уряду Китаю, експерти зазначають, що Pinduoduo порушував місцеве законодавство про кібербезпеку та захист персональних даних.
Дії Pinduoduo можуть вплинути і на міжнародний додаток Temu, який належить тій же компанії PDD і активно розширює ринок у США та Європі. Хоча Temu наразі не фігурує у звинуваченнях, дії Pinduoduo можуть негативно позначитися на його репутації.
