보안 연구자가 안드로이드용 공식 앱에 사용자를 감시할 목적으로 설계된 악성코드가 포함되어 있다며 중국 대형 전자상거래 서비스인 판둬둬(拼多多)를 지적했다. 이에 따라 구글은 판둬둬 공식 앱을 악성코드로 신고하고 게재를 중단하는 한편 이미 설치한 사용자에게도 경고했다.
판둬둬는 농가에서 구입한 농산물을 스마트폰 앱을 통해 통신 판매하는 전자상거래 서비스다. 중국 소비자는 최근 식품 품질을 강하게 의식하고 있으며 판둬둬는 이에 따라 성공을 거뒀다. 2018년 판둬둬 연간 수익은 19억 달러엿지만 2022년에는 189억 달러로 급증하는 등 빠른 성장을 보이고 있다.
하지만 판둬둬 안드로이드 앱에 문제가 있다는 고발이 익명 보안 연구원에 의해 깃허브에 게시됐다. 이 지적에 따르면 버전 6.49 이전 판둬둬 공식 앱에는 다양한 안드로이드 스마트폰에서 권한 승격 취약성을 이용해 사용자 스마트폰에서 앱 사용 기록과 앱 알림을 읽는 코드가 내장되어 있었다고 한다. 깃허브 투고에 따르면 판둬둬는 변호사를 통해 투고를 삭제하도록 신청하고 있다고 한다.
깃허브에 고발한 보안 연구자는 앱이 사용자를 해킹하기 위해 제로데이 익스플로잇 몇 가지를 악용하고 있다며 공식 앱 사용 중단을 호소했다. 이에 따라 구글은 안드로이드용 보안 서비스인 구글플레이 프로텍트(Google Play Protect)를 적용하고 사용자가 판둬둬 공식 앱을 설치하지 못하게 하는 동시에 이미 설치한 사용자에게는 제거를 촉구했다.
구글 측은 자사가 판둬둬 공식 앱 게재를 중단한 것에 대해 앱 조사를 하는 동안 보안 문제로 판둬둬 공식 앱에 구글플레이 프로텍트를 적용했다고 밝혔다. 판둬둬를 운영하는 PDD홀딩스(PDD Holdings) 측은 공식 앱에 멀웨어가 포함되어 있다는 지적을 강하게 부인했다. 물론 판둬둬 주요 사용자 상당수가 거주하는 중국에선 구글플레이 스토어를 사용할 수 없다. 보안 연구자에 따르면 판둬둬 공식 앱은 구글플레이 스토어 뿐 아니라 삼성전자, 화웨이, 오포, 샤오미 등 앱스토어에서도 취급되고 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.