Nei giorni scorsi abbiamo ottenuto numerosi riscontri positivi sul nostro approfondimento relativo a TEMU, ritenuto di fatto uno spyware. E così ecco una versione ulteriormente affinata dell’articolo. Che parte da una frase a effetto: “Riteniamo che PDD sia un’azienda fraudolenta in via di estinzione e che la sua app per lo shopping TEMU sia uno spyware abilmente nascosto che rappresenta un’urgente minaccia alla sicurezza per gli interessi nazionali” e dei consumatori. Questo in sintesi il risultato della ricerca di Grizzly Research. Che dettaglia come l’app di e-commerce Temu sia da temere più che da utilizzare. I motivi sono espressi qui di seguito, nel quale proponiamo le evidenze raccolte dalla società nel dettaglio. Questo perché troppo spesso dietro ad app che si propongono come innovative e assurgono al ruolo di protagoniste attraverso un accurato e astuto processo di passaparola tramite social, quindi senza controllo e propagandistico, si cela uno scenario talmente sconosciuto da essere inquietante e concretamente pericoloso.
Sì, perché secondo Grizzly Research il software dell’app TEMU presenta l’intera gamma di caratteristiche delle forme più aggressive di malware/spyware. L’app dispone di funzioni nascoste che consentono un’estesa estrapolazione filtrata di dati all’insaputa degli utenti, offrendo potenzialmente ai malintenzionati pieno accesso a quasi tutti i dati sui dispositivi mobili dei clienti. È evidente che sono stati compiuti grandi sforzi per nascondere intenzionalmente gli intenti dannosi e l’invadenza del software.
Grizzly Research ha coinvolto numerosi esperti indipendenti di sicurezza dei dati per decompilare e analizzare il codice dell’app TEMU, integrato con esperti dello staff e analisti che hanno scritto in modo indipendente documenti di dominio pubblico. A contribuire al pericolo della raccolta di massa dei dati è il rapido tasso di adozione dell’app TEMU: oltre 100 milioni di download di app negli ultimi 9 mesi, tutti negli Stati Uniti e in Europa. TEMU non è offerto in Cina. Il team di sviluppo dell’app TEMU comprende 100 ingegneri che hanno creato l’app Pinduoduo, a sua volta sospesa dal Google Play Store perché ritenuta pericolosa. L’app Pinduoduo è stata ripristinata rimuovendo le “parti difettose”, alcune delle quali sono utilizzate in modo identico come componenti dell’app TEMU, indicando fortemente intenti dannosi.
Grizzly Research ha forti sospetti secondo cui TEMU stia già vendendo o intenda vendere illegalmente dati rubati a clienti dei paesi occidentali per sostenere un modello di business basato sull’e-commerce altrimenti destinato al fallimento. Le app per lo shopping cinese a basso costo hanno già dimostrato in precedenza che il modello di business semplicemente non è redditizio e non è sostenibile. Wish.com è un caso di studio importante e Shein un attuale concorrente aggressivo, entrambi con forti problemi di sostenibilità del business. TikTok ha annunciato il debutto nell’e-commerce per competere direttamente con Amazon.
Per di più, parlando di modello di business, quello proposto da TEMU in Italia si basa sull’evasione di imposte e tasse e sul mancato riconoscimento dei diritti dei consumatori legati al contratto del consumo. E questa la rende ancora più pericolosa. Come spiega Claudio Silvestri, esperto di lungo corso nella distribuzione italiana di prodotti e accessori della consumer electronics, su LinkedIn:
“Ricordatevi che state comprando un prodotto da un azienda che :
– non sta pagando iva allo stato (neanche voi);
– non sta pagando le sue regolari tasse in Italia ;
– non sta pagando il dazio allo stato ( e neanche voi ) ;
– potrei continuare ma mi fermo sul perché lo stesso prodotto li costa 5 e qui 35/50 (ma disponibile confrontarmi con chiunque lo voglia )
Stessa identica cosa vale anche per Alibaba, li ancora peggio, perché comprate anche roba con loghi e quindi contraffazione”.
Si stima che TEMU stia perdendo 30 dollari per ordine. La spesa pubblicitaria e i costi di spedizione (1-2 settimane dalla Cina, consegna rapida fino agli Stati Uniti) sono astronomici. Viene da chiedersi come questa attività possa mai essere redditizia e la risposta si trova nelle righe qui sopra. TEMU è notoriamente un cattivo player nell’e-commerce. Sono dilaganti le manipolazioni degli utenti, con truffe e affinità simili a sistemi piramidali per incentivare le iscrizioni e, nel complesso, le tecniche più aggressive e discutibili per manipolare un gran numero di persone al fine di ottenere l’installazione dell’app.
Un comitato del Congresso degli Stati Uniti ha già redatto la HR 1153 che comprometterebbe seriamente il modello di business di TEMU e/o autorizzerebbe il presidente degli Stati Uniti a vietare l’ingresso negli Stati Uniti. Questo documento consente agli Stati Uniti di punire TEMU per aver estratto i dati personali degli utenti statunitensi e averli dirottati in Cina senza che ciò sia stato comunicato o permesso. Nel compenso negli States TEMU ha trovato una scappatoia per continuare a offrire ai consumatori un accesso gratuito a spese postali, ispezioni doganali o tariffe di importazione. Questo di fatto stabilisce che le imprese statunitensi non godono di diritti simmetrici rispetto a ciò che è permesso all’app di e-commerce cinese.
Secondo Grizzly Research, TEMU è chiaramente più pericoloso di TikTok e l’app dovrebbe essere rimossa dagli app store di Google e Apple: “Riteniamo che i dati finanziari di PDD siano notoriamente inaffidabili”. PDD è la parent company di TEMU. Anche gli analisti del lato vendite, solitamente promozionali, hanno sottolineato che la contabilità di PDD è simile a una “scatola nera” poiché la divulgazione diventa sempre più opaca. Nonostante sia una società con una capitalizzazione di mercato di circa 135 miliardi di dollari, PDD non ha un CFO dal 2018. Le posizioni finanziarie chiave sono una porta girevole. Sembra che non ci sia alcuna responsabilità. I partner di audit di Ernst&Young Hua Ming LLP sono, secondo le rilevazioni di Grizzly Research, inaffidabili e hanno sottoposto a verifica numerose società cinesi le cui azioni in passato si sono rivelate quasi prive di valore.
L’analisi di Grizzly Research mostra che PDD potrebbe aver sottostimato il numero dei propri dipendenti agli investitori statunitensi secondo le loro stesse dichiarazioni in Cina. Sottovalutare i dipendenti sovrastima la redditività nei dati finanziari riportati. Secondo quanto riferito, PDD è stata coinvolta in importanti scandali di order brushing e le accuse secondo cui 7 miliardi di RMB di traffico di gioco d’azzardo illecito sarebbero stati riciclati attraverso la piattaforma PDD. Importanti parametri operativi indicano che l’attività di PDD in Cina sta rapidamente diminuendo mentre perde una feroce battaglia con concorrenti come Alibaba e JD. I problemi normativi di Alibaba in Cina sembrano essere stati risolti nel luglio 2023. Allo stesso tempo, JD sta intensificando i suoi sforzi per sottrarre quote di mercato a PDD e vede le prime indicazioni di risultati molto promettenti.
Diverse fonti di dati in Cina, così come Goldman Sachs, hanno già riferito che il parametro degli utenti medi giornalieri (DAU) di PDD sta iniziando a diminuire più rapidamente. Il calo anno su anno del DAU per il mese di giugno è superiore al 20%. Questo è un indicatore di un business in rapido deterioramento. Quello di PDD è un business gestito a beneficio degli addetti ai lavori piuttosto che degli azionisti. PDD Holdings ha creato una piattaforma di pagamento che utilizza essa stessa, creando plusvalenze. Tuttavia, il management si è ritagliato il controllo dell’intera attività dei pagamenti (il playbook AliPay). Infine, un gran numero di azioni di PDD sono disperse. Secondo quanto riferito, miliardi di dollari di azioni sono andati “perduti”. Alcuni presumibilmente sono andati in beneficenza e altri a investitori in capitale di rischio. Anche questa assenza di trasparenza come un altro campanello d’allarme.
Parte 1: TEMU è l’app più pericolosa in circolazione
Caratteristiche di spyware/malware altamente pericolosi nell’app TEMU
L’analisi del software da parte di Grizzly Research dell’app di PDD da parte di diversi esperti mostra tutti i possibili segnali di allarme. Le chiamate di sistema sfruttando i dati e le funzioni di dispositivi esterni che violano la privacy degli utenti sono molto più aggressive di qualsiasi nota app per lo shopping dei consumatori. Gli esperti di Grizzly Research hanno identificato una serie di funzioni software completamente inappropriate e pericolose: TEMU li usa tutti.
Si rilevano le voci android.permission a cui si fa riferimento nelle parti proprietarie del codice sorgente decompilato, le librerie “usate raramente” sono quelle che non provengono direttamente dalle grandi aziende tecnologiche affidabili. È pratica comune utilizzare solo librerie create da grandi aziende tecnologiche. L’attivazione molto selettiva delle funzionalità più invasive, o la capacità di TEMU di richiamarle su richiesta dai server in Cina, o di trasferire comportamenti ancora più invasivi negli aggiornamenti o nella compilazione dinamica (runtime), sono tutti elementi che si profilano nel profilo di rischio dell’app TEMU installata.
Dove vanno a finire tutti quei dati esfiltrati? La Cina ha implementato una legge che recita: “Lo Stato protegge gli individui e le organizzazioni che sostengono, cooperano e collaborano al lavoro di intelligence nazionale”. Le aziende cinesi possono operare solo se i loro interi database sono accessibili alle agenzie governative cinesi. In particolare, l’esercito cinese è stato strettamente legato per oltre un decennio all’hacking cinese contro gli Stati Uniti.
Con le tensioni commerciali, di difesa e tecnologiche tra gli Stati Uniti e la Cina incombenti, ci sono tutte le ragioni per prevedere che lo Stato cinese avrebbe interesse nella capacità di un’azienda di estrapolare la posizione di un utente entro 3 metri, oltre a dati altamente personali appartenenti a “parti di interessi”: dipendenti del governo statunitense, membri delle forze armate statunitensi, agenti di polizia e di sicurezza, ricercatori universitari, espatriati cinesi, oltre a membri di minoranze oppresse che potrebbero avere familiari che sono clienti TEMU in qualsiasi paese occidentale. Naturalmente, l’apparato di sicurezza dello Stato cinese ha interesse a ricevere messaggi di testo da e verso tutti i cittadini statunitensi che comunicano con loro. I modelli di acquisto, combinati con la geolocalizzazione e i dati personali, potrebbero rivelare informazioni utili su qualsiasi iscritto a TEMU.
Spiega Grizzly Research: “Riteniamo che molti legislatori statunitensi ritengano già che questi rischi siano inaccettabilmente elevati, senza alcuna possibilità di un’equa opportunità reciproca per le aziende statunitensi di operare in questo modo in Cina. Questa non è una questione bloccata tra liberali e conservatori. I legislatori di entrambi gli schieramenti sono impegnati in queste questioni in questo momento. Il Congresso è già coinvolto. Devono solo capire che TikTok non è la peggiore minaccia che dobbiamo affrontare: TEMU lo è! La HR 1153 è già all’esame del Congresso, ma quasi tutti pensano che si tratti di vietare TikTok”.
L’HR 1153 dice, in parte:
“Il Dipartimento del Tesoro può emettere una direttiva che vieta ai soggetti statunitensi di intraprendere qualsiasi transazione con chiunque consapevolmente fornisca o possa trasferire dati personali sensibili soggetti alla giurisdizione statunitense a qualsiasi persona straniera soggetta all’influenza cinese. Il disegno di legge stabilisce inoltre nuove sanzioni su alcune transazioni relative alle applicazioni software connesse. Ad esempio, il Presidente deve imporre una sanzione a qualsiasi persona straniera che consapevolmente opera, dirige o tratta un’applicazione software connessa soggetta alla giurisdizione della Cina e che si ritiene ragionevolmente sia stata o possa essere utilizzata per facilitare o contribuire a Campagne militari, di intelligence, di censura, di sorveglianza, informatiche o di informazione della Cina”.
Gli esperti di sicurezza e i politici danno per scontato che tutti i dati degli utenti acquisiti da un’azienda cinese finiscano in database accessibili ai servizi di sicurezza cinesi. Ma Grizzly Research ha dimostrato perché l’app di TEMU è molto più pericolosa di qualsiasi altra, inclusa TikTok, possa raggiungere.
Esistono prove evidenti che elementi dell’app di punta di Pinduoduo recentemente sospesa (e successivamente ripristinata) siano presenti nell’app TEMU di PDD. Il malware di Pinduoduo non è stato uno sforzo marginale o circostanziale. PDD ha reclutato e assunto un team di 100 programmatori per trovare e sfruttare le personalizzazioni di Android (installate sui principali brand di smartphone a basso prezzo), con l’intenzione di sfruttare le vulnerabilità controllate meno spesso rispetto alla base di codice Android principale (sono state prese di mira stime di oltre 50 vulnerabilità di questo tipo). Come riportato dalla CNN, una delle strategie di PDD è stata di eseguire questo software solo nelle piccole città e in altre aree rurali e meno sviluppate della Cina, evitando Pechino e Shanghai, per eludere il rilevamento durante lo sviluppo.
Il 21 marzo 2023, Google ha annunciato la sospensione da Google Play Store dell’app Pinduoduo di PDD a causa di problemi di sicurezza, dopo che sono stati rilevati problemi di malware su versioni esterne al Play Store di Google. Sebbene il malware sia abbastanza comune negli App Store, installare app “localizzate” è sempre una pratica ancora più rischiosa.
Dopo che il Play Store di Google ha sospeso Pinduoduo, la parent company PDD ha generato grande clamore pubblicando un aggiornamento Pinduoduo, presumibilmente rimuovendo il malware. Pinduoduo ha sciolto e “licenziato” il team responsabile del malware. Ma era solo per uno show. Naturalmente furono tutti immediatamente assunti dall’altra società di PDD, ossia proprio TEMU, e “riassegnati”.
Analisi del software delle app e opinione degli esperti
Come ogni indagine alla ricerca di malware/spyware, anche quella di Grizzly Research inizia con la ricerca di chiamate di sistema aggressive e potenzialmente invasive che sarebbero componenti di codice di esecuzione con il potere di estrarre informazioni utente inappropriate che violano le politiche dell’app store e invadono la privacy dell’utente. Si richiama un’attenzione specifica sull’esecuzione di software il cui intento è nascondere o offuscare azioni dannose agli analisti e/o scansioni di sicurezza automatizzate.
Questi sono alcuni dei problemi di sicurezza riscontrati nell’app TEMU:
1) Compilazione dinamica utilizzando runtime.exec(). Una funzione dal nome criptico nel codice sorgente richiede la “compilazione del pacchetto ”, utilizzando runtime.exec(). Ciò significa che un nuovo programma viene creato dall’app stessa. La compilazione è il processo di creazione di un eseguibile per computer da un codice leggibile dall’utente. L’eseguibile creato da questa funzione non è visibile alle scansioni di sicurezza prima o durante l’installazione dell’app, o anche con elaborati test di penetrazione. Pertanto, l’app di TEMU potrebbe aver superato tutti i test per l’approvazione nel Play Store di Google, nonostante abbia una porta aperta incorporata per un uso illimitato di metodi di sfruttamento. La compilazione locale consente al software anche di utilizzare altri dati presenti sul dispositivo che potrebbero essere stati creati dinamicamente e con informazioni dai server TEMU. “Questo è male. Questo è davvero negativo, perché se compilano i pacchetti localmente, possono letteralmente fare tutto ciò che vogliono in qualsiasi momento. Vuol dire che non puoi analizzare perché il sistema è veramente dinamico”, spiega Grizzly Research.
Questa caratteristica da sola è un “jolly” che incombe sui rischi più specifici del malware. È come discutere su chi ha più chiavi per entrare in un edificio, quando tieni in mano la chiave principale. In altre parole, se tutto il resto del codice discutibile venisse rimosso, mentre questa backdoor non venisse rilevata a causa del suo occultamento, l’app potrebbe diventare altrettanto maligna, modificando il suo comportamento, controllato da server stranieri, in quasi tutti i modi possibili e reattivo a tutti gli sviluppi futuri dell’app, alle normative e a tutte le altre possibili influenze. Ad esempio, TEMU può potenzialmente inviare codice sorgente, crittografato e mascherato da qualsiasi dato insospettabile, che viene poi compilato in un eseguibile sul telefono del cliente.
2) Si trovano le voci android.permission a cui si fa riferimento nelle parti proprietarie del codice sorgente decompilato, escluse le ricorrenze nelle librerie standard ampiamente utilizzate e sicure di Android, Google, Facebook, PayPal e Klarna. Perché il codice sorgente proprietario dovrebbe fare riferimento a queste autorizzazioni, se non si ha la possibilità di utilizzarle in scenari specifici? Ancora più importante, molte di queste autorizzazioni nel codice sorgente di TEMU non sono elencate nel file Manifest di Android, che è la fonte di panoramica standardizzata per un’app. Per il controllo delle autorizzazioni, il file Manifest di Android è la prima fonte a controllare le autorizzazioni. Non menzionate nel manifest Android sono le richieste di autorizzazione per CAMERA, RECORD_AUDIO, WRITE_EXTERNAL_STORAGE, INSTALL_PACKAGES e ACCESS_FINE_LOCATION. Non è una coincidenza che queste autorizzazioni siano le più invadenti in termini di potenziale di spionaggio. Per fare un confronto, tutte le altre app elencate nella tabella di coorte enumerano tutte queste autorizzazioni nel loro manifest Android, sempre che le utilizzino. L’unica eccezione è ACCESS_FINE_LOCATION di TikTok.
3) TEMU richiede informazioni relative ai file, e non solo ai propri file, ma vuole informazioni su tutti i file sul dispositivo dell’utente facendo riferimento a “EXTERNAL_STORAGE”, diritti di superutente e file di registro. In altre parole, a seconda della specifica versione di Android, l’app può essere utilizzata per leggere, elaborare e modificare tutti i dati dell’utente e del sistema: registri delle chat, immagini, contenuti utente su altre app e così via.
3a) L’app include la funzionalità di caricamento file basata su un server di comando connesso alla loro API “us.temu.com”. Ciò significa che una volta che un utente concede l’autorizzazione di archiviazione dei file all’app TEMU, anche involontariamente, TEMU sarà in grado di raccogliere in remoto tutti i file dal dispositivo dell’utente e inviarli ai propri server. Idem per qualsiasi altra autorizzazione che violi la privacy. Si noti che molti, se non tutti, gli utenti sono in genere stanchi e impazienti di fronte alle finestre di dialogo di installazione dell’app, quando non ne comprendono le conseguenze. TEMU, come altre importanti app per lo shopping tra cui Amazon, Ebay e molte altre, apparentemente ottiene l’accesso al file system dell’utente e alla sua posizione geografica prima o poi, durante l’installazione o il funzionamento. Grizzly Research stima che meno del 10% degli utenti sarà sufficientemente consapevole da rifiutarsi di concedere queste autorizzazioni a un’app che ha il proprio team di programmazione e i server principali in Cina. Ma per la maggior parte degli utenti è solo una finestra di controllo e, una volta completata, viene dimenticata. È come partire per una lunga vacanza e lasciare la cassaforte di casa sbloccata e aperta.
3b) Scivolamento nelle richieste di autorizzazione con grandi conseguenze. Ecco come funziona. L’app TEMU non richiede in modo aggressivo molte autorizzazioni quando si installa per la prima volta. Ma, per esempio, quando si inizia a pubblicare un’immagine, TEMU può cercare nelle sue inserzioni un articolo simile in offerta: questa funzione appare accattivante.
Quindi si carica la foto di una maglietta. TEMU presenta una normale schermata Android che richiede l’autorizzazione per la posizione precisa o approssimativa. A causa del contesto – si stava solo cercando di caricare una foto dalla tua fotocamera – si presume che venga chiesto il permesso di pubblicare la posizione nelle foto scattate mentre si è nell’app TEMU. Quindi si fa clic su “Durante l’utilizzo dell’app” e si prosegue. Come si può essere sicuri di avere appena concesso a TEMU l’accesso alla tua posizione entro 3 metri ogni volta che usi l’app TEMU? (Non solo quando si scatta una foto) Perché TEMU ha chiesto quel permesso a quel punto? Non esiste un’autorizzazione specifica per garantire una posizione “precisa” alla tua fotocamera. In questo caso, si è appena concesso l’autorizzazione alla localizzazione “Precisa” (FINE_PERMISSION) al tuo telefono, ogni volta che si utilizza l’app TEMU.
Non si sospetterebbe mai che l’app TEMU contenga una serie completa di strumenti malware/spyware per fare praticamente tutto ciò che vuole con lo smartphone e inviare quasi tutto ciò che è archiviato su di esso ai propri server in background. E maschera le sue intenzioni perché generalmente non è consentito pubblicare software che viola la privacy per la distribuzione nel Play Store di Google o nell’App Store di Apple. Si concede a TEMU una richiesta di autorizzazione dall’aspetto innocuo e si è appena regalato la versione elettronica delle chiavi di casa, delle chiavi della macchina e la combinazione della cassaforte, delle chiavi dei cassetti dei documenti, dell’archivio delle foto e così via.
4) Posizione, posizione, posizione. Android ha implementato la funzione di sistema ACCESS_COARSE_LOCATION appositamente per consentire alle app di acquisire un livello ragionevole di dati sulla posizione senza compromettere la privacy degli utenti. Ma TEMU lo usa? No. Come si vede dalla tabella comparativa di Grizzly Research relativa alle app sopra, TEMU mette le mani su ACCESS_FINE_LOCATION, per scoprire dove ti trovi entro 3 metri circa, una query così invadente che lo stesso team Android fa tutto il possibile per scoraggiare l’uso di ACCESS_FINE_LOCATION tranne quando assolutamente necessario per le funzionalità principali dell’app (come un’app per mappe). TEMU può accertare la posizione esatta solo quando è in esecuzione. Oltre a ciò, sfortunatamente, gli esperti di sicurezza non possono dire. Dipende dalla versione di Android installata sul device, dalle autorizzazioni che hai concesso all’app TEMU e se si è connessi a uno o più reti.
5) Accesso “root”. TEMU controlla se un dispositivo ha accesso “root”. Con l’accesso root, l’utente e l’app TEMU sono in grado di leggere, modificare e scrivere non solo i file dell’utente, ma tutti i file sul dispositivo, inclusa tutta la programmazione di altre app e del sistema operativo. TEMU potrebbe teoricamente bloccare qualsiasi dispositivo su cui l’utente ha accesso “root” e TEMU ha autorizzazioni di scrittura di file. Pericolo massimo!
6) Le librerie di crittografia, decifrazione e spostamento di dati interi si trovano nelle versioni precedenti delle app Pinduoduo e TEMU. L’unico scopo di ciò è l’oscuramento di intenti dannosi. PDD ha rimosso molto rapidamente questo componente in entrambe le app quando è stato rilevato da Google in Pinduoduo. L’analisi prima/dopo di questo improvviso cambiamento nella base di codice di Pinduoduo e TEMU rivela ulteriori conclusioni. “Beh, si tratta di offuscamento, e certamente il codice dannoso vuole essere offuscato. Non sono un fan di queste cose per le ragioni che dici, ma ci sono persone che vogliono proteggere i propri segreti commerciali con codice offuscato. Non sono un fan. Combinato con qualcosa di cui sopra (codice compilato e caricabile) insieme all’offuscamento, penso che sia una preoccupazione”.
7) Versione Android ed exploit OEM: il team software di TEMU include ingegneri che hanno scritto l’app Pinduoduo, che conteneva exploit per oltre 50 punti deboli della sicurezza Android, inclusi molti scritti per il codice di personalizzazione OEM, che è soggetto a meno sicurezza rispetto al codice Android principale base. Le informazioni sulla versione di Android vengono interrogate dalle chiamate di sistema.
8) Debugger in casa. Le chiamate nel codice includono una query Debug.isDebuggerConnected(), che indica all’app in esecuzione se è attivo un debugger. Grizzly Research ritiene che ciò abbia lo scopo di ostacolare o oscurare l’analisi dell’app e molto probabilmente di modificare il comportamento dell’app se un analista la sta ispezionando dinamicamente. “Enorme bandiera rossa per me. Più di qualsiasi altra cosa. Rilevare un debugger significa… beh, non vuoi che nessun altro sappia quale codice stai eseguendo”.
9) Registri di sistema dell’utente L’app TEMU fa riferimento a dati di sistema al di fuori dei limiti dell’app TEMU. Sembra che TEMU legga i log di sistema dell’utente. Ciò offre a TEMU la possibilità di tenere traccia delle azioni dell’utente con altre app in esecuzione sul dispositivo dell’utente. Per i meno tecnici, i file di registro del sistema forniscono dettagli esaustivi su tutti i processi del dispositivo, inclusi errori, avvisi di rete e così via. È il diario segreto del dispositivo, con tutti i suoi passi falsi e contrattempi dettagliati. Il codice di TEMU fa riferimento all’indirizzo dei file di registro e alle opzioni per i comandi della shell. L’unico motivo per introdurre tali stringhe nel codice proprietario è raccogliere i dati di registro per osservare l’utilizzo attivo del proprio dispositivo da parte dell’utente. In conformità con ciò, l’app di TEMU richiede un elenco di processi in esecuzione utilizzando getRunningAppProcesses(), che insieme ai file di registro sembra consentire all’app di indagare in modo abbastanza approfondito sulle attività complessive dei dispositivi.
10) Licenza e registrazione. TEMU richiede l’indirizzo MAC e altre informazioni sul dispositivo e lo inserisce in un oggetto JSON da inviare al server. Questo è particolarmente aggressivo. Perché un’app per lo shopping ha bisogno di un database di dettagli tecnici dei dispositivi dei propri clienti? L’indirizzo MAC è un identificatore univoco globale di qualsiasi dispositivo in qualsiasi rete. Ciò significa che, nella comunicazione con il server, TEMU può potenzialmente inviare informazioni e codice sorgente a un utente specifico su un dispositivo specifico.
L’app TEMU legge e memorizza anche l’indirizzo MAC, che è un identificatore di rete univoco e globale codificato di un dispositivo. Questo è un grande “No” in termini di sicurezza Internet. Un attacco Distributed Denial of Service (DDOS) e altre indagini di sicurezza indesiderate potrebbero essere lanciati contro un indirizzo MAC divulgato.
11) Guardarsi alle spalle mentre si usa lo smartphone. TEMU chiama getWindow().getDecorView().getRootView(), per creare screenshot e memorizza i risultati in un file. Gli screenshot sono stati utilizzati in precedenza come un modo conveniente per spiare le attività dei clienti. Che affari sono TEMU, quali altri programmi e dati ci sono sullo schermo del computer? “Cosa abusiva ben nota. È il modo in cui le app abusive sanno che hai installato qualche altra app. Può anche essere utilizzato per hackerare credenziali e così via.(…) Questo è un pericolo. Un’altra grande bandiera rossa”, spiega Grizzly Research.
12) The Rigged Spinner: quando si fa clic su un annuncio display TEMU o su un annuncio “Vetrina prodotti” di Google (scorrimento orizzontale) visualizzato da Google in risposta a un termine di ricerca specifico, il clic va a TEMU, così come altri dati, inclusi le informazioni sul prodotto su cui si è fatto clic (molti annunci TEMU mostrano più prodotti e chissà cos’altro). Lo spinner truccato esegue sempre lo stesso piccolo copione. Si ferma sempre su “One More Chance”, poi, anche se si prova a sfogliare, si ferma sulla sezione arancione brillante con lo sconto più grande. In sostanza si è prigionieri: bisogna chiudere la finestra del browser per scappare.
13) Scudi abbassati. Perché un fornitore di servizi dovrebbe abbassare intenzionalmente e arbitrariamente gli standard di crittografia? Una volta che un utente ha concesso l’autorizzazione all’archiviazione di file a TEMU, anche per errore o perché non sa di cosa si tratta o perché potrebbe causare problemi, (vedere punti 3 e 3a sopra) TEMU sarà in grado di leggere e trasmettere qualsiasi e tutti i file sul sistema dell’utente, con poca o nessuna crittografia.
14) L’app di TEMU fa riferimento all’accesso alla fotocamera e al microfono degli utenti, ogni volta che l’app è in esecuzione. Perché un’app per lo shopping ha bisogno di accedere alla fotocamera e al microfono? L’app utilizza occasionalmente la fotocamera, ad esempio per caricare le foto degli utenti nelle parti di revisione e ricerca immagini dell’app. Tuttavia, durante i test di Grizzly Research non è stata trovata alcuna applicazione per l’accesso RECORD_AUDIO. La registrazione dell’audio sarebbe ovviamente una funzione molto sfruttabile per possibili scopi di spionaggio.
15) Nominazione DNS dinamica complessa: ogni volta che un utente TEMU accede a una rete WiFi, l’app attiva una richiesta Internet all’IP statico 20.15.0.9 e riceve in risposta una stringa crittografata. Nel codice sorgente di TEMU una funzione DnsConfigInfo() fa riferimento a questo IP, indicando che la richiesta Internet è correlata alla denominazione dinamica degli indirizzi web da parte di TEMU. Naturalmente, anche il nome della funzione può essere una mascherata fuorviante. Gli analisti di Grizzly Research si sono chiesti perché questo scambio sia crittografato e perché TEMU utilizzi uno strato di denominazione dinamica apparentemente complessa nonostante possieda indirizzi IP statici negli Stati Uniti
Spiega Grizzly Research: “Dobbiamo chiederci se si tratta di un esempio di tunneling IP, fronting IP o TEMU che stabilisce altrimenti una connessione “privata” a un server diverso da temu.com? I nostri esperti non riescono a vedere una logica per cui un’app per lo shopping debba fare questo. La posizione del server all’estremità finale di questa connessione IP rimane sconosciuta. Potrebbero esserci dei “salti” intermedi per nascondere la sua posizione. Ti chiedi se i tuoi dati personali sono transitati attraverso il portale creato da questo codice? Oppure i dati dei tuoi figli o dei tuoi amici? Solo TEMU lo sa. Sembra improbabile che TEMU riveli cosa sta succedendo ai dati dei clienti statunitensi senza un mandato di comparizione”.
Le prime conclusioni di Grizzly Research su TEMU
Grizzly Research: “Quindi, quando si considerano tutti questi elementi, quanto è probabile che si tratti di malware/spyware? Ed è questo un segno di uno sforzo intenzionale per eludere le scansioni di sicurezza dell’App Store) Sì. Assolutamente sì”. Inoltre, un analista ha riferito che “TEMU invia molti elementi dettagliati di dati utente e di sistema non appena l’app viene caricata” . Il sistema dell’utente viene interrogato in dettaglio, quindi tutte le informazioni sono disponibili per l’invio ai server TEMU. Come notato sopra, questo include l’indirizzo MAC univoco del dispositivo. Non è richiesta alcuna autorizzazione da parte dell’utente per raccogliere nessuna di queste categorie di informazioni.
Chi ha la responsabilità di quanto accade? Quando viene notificato un mandato di comparizione a TEMU US, ci si chiede se il “quartier generale di Boston” di TEMU sia pronto a fungere da punto di responsabilità per quanto riguarda le leggi statunitensi. Ci si aspetta che questo ufficio sia un valido punto di servizio statunitense per le operazioni TEMU statunitensi e, avendo annunciato un “quartier generale statunitense”, stabilisce la sede per le azioni civili. Al contrario, citare in giudizio una società cinese che si trova dietro un VIE delle Isole Cayman non ha alcuna possibilità di successo. Come stabilito dal rapporto della CNN, il team responsabile del codice maligno non ha sede a Boston o Dublino. È a Shanghai. Prese individualmente, molte di queste chiamate di sistema potrebbero essere attribuite alla “trascuratezza del programmatore” o alla comoda posizione che “alcune altre app lo fanno”. Ma nel loro insieme, nelle mani di un team esperto di creazione di spyware, queste chiamate forniscono un arsenale completo di strumenti per estrapolare praticamente tutti i dati privati sul dispositivo di un utente ed eseguire quasi qualsiasi azione dannosa su comando attivato da un server remoto.
Cosa c’è dietro la cortina di segretezza?
Gli analisti di Grizzly Research hanno notato anche indicazioni di almeno due indizi straordinari nel software che riflettono la forte intenzione degli ingegneri dell’app di mascherare e oscurare intenzionalmente ciò che l’app esegue effettivamente durante l’esecuzione. Questi sono:
Crittografa, decrittografa o spostamento interno dei dati: tecnologia che oscura il codice sorgente e le chiamate di sistema, in modo che le chiamate intrusive e pericolose siano più difficili da rilevare quando l’App Store esegue le scansioni di sicurezza. Pinduoduo aveva una libreria di funzioni proprietarie in un modulo separato quando è stato catturato da Google. Ma l’ha rimosso rapidamente da entrambe le app per essere reintegrato. Quella squadra ora lavora per TEMU. Quindi la competenza e l’esperienza ci sono.
runtime.exec(): riga 1 nella tabella comparativa delle app sui problemi di sicurezza sopra, è un metodo furtivo per ottenere codice compilato nel sistema dell’utente in fase di runtime che non è stato rilevato da alcuna scansione di rilevamento della sicurezza. Con runtime,exec(), la ricetta per il codice dannoso potrebbe essere diretta dalle informazioni archiviate su un server connesso all’app e “preparata su ordinazione” in un segmento eseguibile sul dispositivo dell’utente proprio quando è necessario fare qualcosa di invasivo. E consegnato in questo modo perché l’ingegnere del software che lo ha scritto intendeva che non fosse rilevabile. Sulla base di questi risultati, i numerosi esperti con cui Grizzly Research ha collaborato sono giunti alla conclusione che l’app TEMU è un “malware/spyware molto virulento”.
Analisi di Joesandbox
Un’analisi del codice sorgente pinduoduo-6-49-0.apk della versione interessata su GitHub riassume: “è possibile trovare più codici di exploit per l’escalation dei privilegi per i sistemi di diversi produttori di telefoni cellulari [Android]”. La società svizzera di sicurezza informatica Joe Security fornisce uno strumento di “Deep Malware Analysis” JoeSandbox con un’applicazione specifica per le app Android. Come previsto, JoeSandbox mostra il seguente risultato dell’analisi per pinduoduo-6-49-0.apk:
Rispecchiando i commenti sull’analisi del codice sorgente su GitHub, sono state trovate parti dannose nelle categorie Spyware, Evader ed Exploiter. L’app di Pinduoduo (pinduoduo-6-49-0) ottiene un punteggio “PERICOLOSO” 64/100 . Per fare un confronto, l’app Android di Ebay ottiene un punteggio di 18/100 su JoeSandbox ed è classificata come “PULITA”.
Grizzly Research ha trovato nel database GitHub un’analisi del pacchetto “com-einnovation-temu1680926400.apk”, eseguito il 21 aprile 2023. Il nome non si adatta alla convenzione di denominazione di TEMU, ma il file analizzato ha esattamente la stessa dimensione in byte e un hash MD5 identico alla versione 1.61.1 dell’app TEMU per Android (“TEMU_ Shop Like a Billionaire_1.61.1_Apkpure.apk”, pubblicato il 14 aprile 2023). JoeSandbox assegna all’app di TEMU un punteggio di 68/100 , che è ancora più pericolos dell’app sospesa pinduoduo-6-49-0. Come il malware dei suoi genitori, anche l’app di TEMU è dannosa in modo quasi identico nelle categorie Spyware, Evader e Exploiter.
La grande “pulizia” al TEMU dopo la sospensione di Pinduoduo da Google
Dopo la sospensione di Pinduoduo da parte di Google il 21 marzo 2023, la società è stata costretta a fornire una rapida pulizia della sua app per ottenere la reintegrazione nel Play Store di Google. Pertanto, molti file nei rispettivi pacchetti APK sono stati modificati o rimossi confrontando la versione interessata pinduoduo-6-49-0 con la versione che l’ha sostituita. Senza spiegazione, file identici sono stati rimossi contemporaneamente dall’app TEMU. Apparentemente le app Pinduoduo e TEMU sono ancora dannose anche dopo gli aggiornamenti successivi al 20 marzo 2023
La sospensione dell’app Pinduoduo da parte di Google, versione 6.49, ha fatto seguito a discussioni approfondite sul back-engineering e probabilmente anche al codice sorgente trapelato, come mostra questa analisi del 10 marzo 2023. L’analisi punta specificamente a un file AliveBaseAbility/vmp_src/mw1.bin in pinduoduo-6-49.0\assets\component\com.xunmeng.pinduoduo.AliveBaseAbility.7z, che è stato rimosso dalle versioni successive. Tuttavia, ciò non garantisce al 100% che l’app non sia dannosa. Un’analisi JoeSandbox della versione PDD 6.50.3 del 21 marzo 2023 indica problemi che sono ancora coerenti con l’analisi TEMU 1.61.1 di cui sopra per quanto riguarda le metriche Spyware, Evader ed Exploiter.
In base a questi risultati, il servizio di statistiche sul malware VirusTotal.com registra l’app di PDD come ancora ” MALICIOUS “. Inoltre, 3 fornitori di sicurezza hanno segnalato malware per la versione 6.49 e 9 fornitori di sicurezza hanno segnalato malware per la versione 6.50. 3 e 3 fornitori di sicurezza hanno segnalato il malware per la versione 6.53.0. Il produttore di antivirus ESET-NOD32 ha addirittura contrassegnato la versione PDD 6.49.0 con “A Variant Of Android/Pinduo.A” e la versione 6.53.0 con “A Variant Of Android/Pinduo.B”, identificando chiaramente che PDD ha aggiornato il proprio malware per oltrepassare il checkpoint di Google invece di rimuovere il suo intento e la sua struttura dannosa.
È credibile che Google consenta il ritorno di app dannose sul proprio Play Store? Sì, negli ultimi anni i meccanismi di Google hanno ripetutamente fallito nel segnalare e vietare il malware. Analisti competenti hanno scritto ampiamente sull’argomento, ad esempio su ZDNET, Lifewire, Kaspersky e Wired. In realtà, gli sviluppatori di malware sono spesso un passo avanti finché non vengono scoperti dagli analisti tecnologici dopo il rilascio; Google spesso reagisce solo dopo che analisti terzi hanno evidenziato problemi specifici. Da ciò si può dedurre che gli stessi timori di essere sospesi hanno guidato una pulizia nello sviluppo dell’app TEMU. Grizzly Research elenca i file che sono stati rimossi contemporaneamente nell’app Pinduoduo e nell’app TEMU intorno al 21 marzo 2023.
| Nome cartella/file |
| lib/armeabi-v7a/libmanwe-lib.so |
| asset/edificio_bin/check.bin |
Confronto dei pacchetti APK: pinduoduo 6.49.0 (23 febbraio 2023), pinduoduo 6.53.0 (29 marzo 2023), TEMU 1.55.0 (17 marzo 2023), TEMU 1.58.1 (6 aprile 2023) 2023). Grizzly Research ha scelto le versioni in base alla data di pubblicazione e alla disponibilità.
File eliminato lib/armeabi-v7a/libmanwe-lib.so
Libmanwe-lib.so è un file di libreria in linguaggio macchina (compilato). Una ricerca su Google rivela che è menzionato esclusivamente nel contesto del software PDD: tutti e cinque i risultati della ricerca si riferiscono alle app PDD. Secondo questa discussione su GitHub, “il codice dannoso di PDD è protetto da due set di VMP (manwe, nvwa)”. Libmanwe è la libreria per utilizzare manwe. Un utente anonimo ha caricato una versione decompilata di libmanwe-lib su GitHub. Sembra che sia un elenco di metodi per crittografare, decrittografare o spostare dati, che si adatta alla descrizione di cui sopra come VMP allo scopo di nascondere lo scopo di un programma. In parole povere, l’app di TEMU ha utilizzato una misura proprietaria PDD per nascondere il codice dannoso in una bolla opaca all’interno degli eseguibili dell’applicazione.
Eliminato il file asset/building_bin/check.bin
Questo file è disponibile solo in forma completamente compilata. Le versioni nelle due app differiscono ma non sono piccole con 82kB e 102kB. Grizzly Research non può esprimersi in modo più definitivo sul suo contenuto senza il codice sorgente. Grizzly Research ritiene tuttavia che, visti i risultati relativi a Pinduoduo 6.49.0 e la rimozione da entrambe le app, il file potrebbe rivelare ulteriori prove di malware o relativi meccanismi di protezione. A un certo punto, la ricerca investigativa si scontra con un muro che necessita di un mandato di comparizione per sfondare. Varie agenzie governative statunitensi hanno l’esperienza e l’autorità legale per far luce su questo angolo oscuro della clandestinità di Internet.
Ultimi risultati: TEMU su Android rispetto all’app di Amazon
Secondo l’analisi standard di penetrazione eseguita da Grizzly Research sull’app TEMU (TEMU 1.73.0) rispetto alla più recente versione dell’app Amazon, risulta quando segue:
- la configurazione di base è non sicura per consentire il traffico di testo in chiaro verso tutti i domini;
- algoritmo di crittografia debole;
- debug remoto di WebView è abilitato;
- l’app utilizza la modalità di crittografia CBC con riempimento PKCS5/PKCS7. Questa configurazione è vulnerabile agli attacchi.
TEMU su iOS
Sono stati rilevati almeno quattro principali problemi di minaccia:
- Le restrizioni di sicurezza del trasporto app sono disabilitate per tutte le connessioni di rete. Disabilitare ATS significa che sono consentite connessioni HTTP non protette. Sono consentite anche le connessioni HTTPS, che sono comunque soggette alla valutazione predefinita dell’attendibilità del server. Tuttavia, i controlli di sicurezza estesi, come la richiesta di una versione minima del protocollo Transport Layer Security (TLS), sono disabilitati.
- Binary fa uso di API non sicure.
- Binary fa uso delle funzioni Random non sicure.
- Il binario utilizza la funzione malloc.
Altro sull’offuscamento intenzionale
Il pacchetto dell’app (com.einnovation.temu 1.80.4) si decompila in 21.727 file JAVA in un albero complesso di 4.322 cartelle. 1.940 di queste cartelle e 8.681 file JAVA sono impacchettati per la distribuzione con nomi generati dall’app per ostacolare l’analisi. Queste cartelle e file sono accessibili solo con un nome arbitrario di lettere assegnate casualmente dal decompilatore. Lo stesso vale per le classi e le funzioni in cui abbiamo trovato il codice che sospettiamo sia dannoso. Questi file, cartelle, classi e funzioni dai nomi criptici fanno riferimenti incrociati tra loro in modo estremamente complesso. Pertanto, è praticamente impossibile per un essere umano leggere il codice decompilato e riteniamo che TEMU utilizzi strumenti aggiuntivi nel processo di compilazione per creare questo offuscamento. L’indicatore più evidente dell’offuscamento del codice di TEMU è la visualizzazione di primo livello del sorgente JAVA dopo la decompilazione. Osservando TEMU, un analista viene accolto direttamente da 1.808 cartelle dai nomi criptici. Per fare un confronto, Amazon ed Ebay impacchettano quasi tutti i file e le cartelle JAVA per le app Android con nomi leggibili dall’uomo. Con Amazon vediamo solo una cartella dal nome criptico al livello più alto, mentre per l’app di Ebay sono tre.
Base di codice scomparsa dagli archivi APK
Molti siti web archiviano gli APK pubblicati nel Play Store di Google. Tuttavia, l’app di TEMU sembra essere scomparsa da molti di questi archivi, in particolare quasi tutti con Google Page Rank pari a 6 o superiore che compaiono in cima alle ricerche di Google. Gli APK TEMU sono rimossi da tutti i siti web con giurisdizione statunitense, il che indica che dietro l’esclusione dagli archivi web potrebbero esserci misure legali da parte di TEMU. L’inaccessibilità dei file APK rende la ricerca di malware più complicata. Questi siti web hanno subito pressioni da parte degli avvocati di TEMU affinché rimuovessero i file APK di TEMU? Questa è un’altra osservazione che supporta la conclusione che TEMU nasconde qualcosa.
Conclusione: TEMU è un malware/spyware
TEMU ha gettato una vasta base software per saccheggiare incautamente i dati dei suoi clienti. Le analisi di Grizzly Research, verificate da numerose conferme di esperti, rilevano malware, spyware e diversi livelli di comportamento software eccezionalmente minaccioso. Quindi, in cambio del prezzo super basso, troppo bello per essere vero, su alcuni gadget, è bene riconoscere che TEMU è in grado di hackerare lo smartphone dal momento in cui si installa l’app, ignorando le impostazioni sulla privacy dei dati che sono state configurate sul device e indipendentemente dalle cautele dell’utente. Inoltre, l’app TEMU è progettata per nascondere le sue intenzioni e mascherare il rilevamento delle sue capacità invasive.
I dati personali, molto più di quanto si possa immaginare, sono rivenduti indiscriminatamente per scopi di marketing e con ogni probabilità disponibili alle autorità di sicurezza cinesi per scopi di data mining. Gli agenti di sicurezza del governo cinese o i loro computer basati sull’intelligenza artificiale potrebbero esaminare i prodotti che si acquistano su TEMU come fonte di leva finanziaria, influenza, manipolazione, “giustizia remota transfrontaliera”, sorveglianza o altro.
Dice Grizzly Research: “Ricordate che recentemente si è scoperto che la Cina gestisce stazioni di polizia clandestine a New York e nel Missouri, fino a 7 centri di servizio OCSC nelle città degli Stati Uniti e altri centri di controllo cinese in altri Paesi. La capacità della Cina di far rispettare e sostenere la giustizia remota transfrontaliera è una legittima preoccupazione di sicurezza del governo degli Stati Uniti, qualunque sia il lato con cui ci si identifica. Dato che il premio della sua disperata conquista delle installazioni di app negli Stati Uniti può essere solo quello di monetizzare i dati sui consumatori statunitensi che cerca così persistentemente, stiamo sollevando preoccupazioni sulla possibilità che queste forze convergano tutte giusto in tempo per la stagione elettorale del 2024. L’apparato di sicurezza dello Stato cinese ha semplicemente troppo da guadagnare in questo contesto. Il tesoro di dati personali privati con riferimenti incrociati vulnerabili all’esfiltrazione da parte degli aggressivi malware/spyware di TEMU deve essere indagato da coloro su cui facciamo affidamento per mantenerci al sicuro. Non possiamo fare affidamento sul fatto che l’establishment della sicurezza cinese rispetti le nostre regole”.
Continua l’analisi di Grizzly Research: “Prevediamo che al momento del rilascio pubblico di questo rapporto, gli ingegneri software di TEMU incaricati di mascherare le loro funzionalità più invasive riceveranno immediatamente l’ordine di “affrontare” tutti questi problemi. Prevediamo un rapido aggiornamento. Tuttavia, prevediamo che l’obiettivo principale di tale aggiornamento non sarà quello di ripulire il software dalle funzionalità malware/spyware e di rendere la base del codice trasparente al controllo di sicurezza! Prevediamo che invece faranno il loro gioco, cercando di nascondere tutto il codice maligno che questo rapporto è stato in grado di rilevare e documentare”.
Quindi la domanda più intrigante non è se l’app TEMU sia sospesa dal Google Play Store e/o dall’App Store di Apple. La domanda molto più interessante è, in caso di sospensione, se e quando verrà ripristinata e quali siano effettivamente le nuove funzionalità dell’app. E questo fa sorgere la domanda su cosa farà PDD con ogni dato utente che sta estrapolando in questo momento. L’azienda deve decidere se sceglierà la strada della trasparenza e della sottomissione volontaria alle linee guida dell’App Store o alle citazioni del governo statunitense. E come si posizioneranno Google e Apple, due delle aziende più grandi e influenti del pianeta, rispetto ai loro interessi economici e al loro ruolo fiduciario per proteggere i propri utenti?
Per dirla nel linguaggio più semplice possibile, se PDD gestisce il più grande casinò online del mondo ed è completamente convinto, al di là di ogni dubbio, che si tratti di un business così grande che vale la pena investire miliardi per sostenere le perdite e allo stesso tempo far crescere una base di utenti attraverso una piattaforma come TEMU, perché dovrebbero rischiare tutto? Combinare la loro giocosa app per lo shopping con malware aggressivo, intenzionalmente subdolo e clandestino? Se gli app store di Google e Apple si rifiutano di ammetterli, il loro punto di accesso principale ai clienti occidentali sarà bloccato e con ciò il loro modello di business per l’intera azienda. Se questo rischio non si traduce nell’accesso a un’immensa dote di dati privati, come si spiega altrimenti?
Lo dice espressamente Grizzly Research: “TEMU sta anche fregando i suoi clienti e fornitori in molti modi. Il mercato online TEMU di PDD è segnalato come una delle app più diffuse nella storia. L’esca? Prezzi follemente bassi. È forse perché ai clienti non importa se ricevono prodotti difettosi o qualcosa che non assomiglia nemmeno a ciò che è stato pubblicizzato? Nel frattempo l’azienda spende 30 dollari per ordine pur di iscriverci tutti e venderci qualcosa (…) ma soprattutto vuole che scarichi l’app! E abbiamo spiegato perché! Per un approccio divertente ma approfondito su questo argomento, nonché sulla spedizione gratuita”. Il video qui di seguito spiega come e perché.
Gli influencer dei social media vengono sottoposti a spam di massa con incentivi al pagamento in contanti.
TEMU bombarda con video per attirare l’attenzione. Quanti aspiranti “influencer” stanno producendo video di “bottino” su TikTok in questo momento perché sono stati reclutati in questo fasullo schema di affinità? Per un video YouTube divertente su questo argomento: “Iscrivi i tuoi figli, tuo marito, il tuo vicino, chiunque a scuola se vai a scuola…” . È pura propaganda.
Le “recensioni” di TEMU sono probabilmente truccate e non credibili.
TEMU compensa anche gli utenti che scrivono recensioni. Basta osservare l’App Store di IOS in questo momento, ogni singola recensione, positiva e negativa, è lunga uno schermo intero di testo. Questo è strano: semplicemente non è l’aspetto di una normale pagina di recensione. Alcuni sono un paragrafo, altri poche parole o punti chiave, o semplicemente una singola lamentela concisa. Da qualche parte, in qualche modo, TEMU sta regalando qualcosa per incentivare la lunghezza della revisione.
Per esempio, la recensione qui sotto – aspramente negativa – che denuncia attività illegali – nelle recensioni dei prodotti stessi, sottolineando come le valutazioni a stelle sulle recensioni siano ovviamente distorte positive e molte recensioni visualizzate siano chiaramente per altri prodotti. Eppure, questa recensione ha guadagnato a TEMU 5 stelle! Riceve anche una lunga seppur insulsa “risposta dello sviluppatore”. È chiaro che l’intero mondo delle “recensioni dei consumatori” di TEMU è truccato. Ci sono senza dubbio dei crossover tra il reclutamento eccessivamente aggressivo di “influencer” da parte di TEMU, i video di “haul” positivi su TikTok e YouTube e il contenuto delle recensioni.
Gli annunci TEMU sono progettati per profilarti e isolarti.
Gli annunci di TEMU sono progettati per consentire la profilazione e il tracciamento delle persone. Notate l’annuncio con il vestito attillato e ben fatto e le palline con il braccialetto con ciondolo per fucile di precisione AR-15:
A volte è la dimensione, o la sensazione di plastica, o l’odore chimico (odori difficili da fotografare) TEMU spedisce prodotti ai consumatori che non assomigliano alle foto dei prodotti offerti sull’app. Solo il primo articolo di un ordine è idoneo al reso gratuito. Altri resi comportano costi di servizio e maggiore complessità. Se si è stati indotti a effettuare un ordine di più articoli, probabilmente si punterà solo sulla merce più economica. Quando TEMU viene denunciata riguardo a queste pratiche, ricorre alla difesa: “Siamo solo gli intermediari”.
PDD ha lanciato TEMU per espandersi nei mercati OCSE in modo molto aggressivo. TEMU è stato lanciato di recente negli Stati Uniti (settembre 2022), Canada (febbraio 2023), Australia e Nuova Zelanda (marzo 2023), Francia, Italia, Germania, Paesi Bassi, Spagna e Regno Unito (tutti nell’aprile 2023). Secondo quanto riferito, il budget di marketing di TEMU per il 2023 ammonta a oltre 7 miliardi di dollari e include uno spot del Super Bowl, una vasta campagna pubblicitaria online e programmi di sponsorizzazione; per fare un confronto, il budget di marketing di Walmart per il 2022 era di 3,9 miliardi di dollari.
Dice Grizzly Research: “Riteniamo che l’azienda lo faccia per raccogliere i dati degli occidentali per la rivendita. Il nostro caso in breve non si basa sulla perdita di entrate in questi mercati, ma piuttosto sul potenziale strategico di non essere in grado di raccogliere dati personali, riservati e invasivi degli utenti occidentali. Questo caso riguarda più la frode (nello specifico, la monetizzazione dei frutti dello spyware) che la mancanza di una via d’affari secondaria. PDD Holdings (“PDD”) non suddivide le vendite internazionali nei suoi documenti trimestrali. Nella presentazione degli utili del quarto trimestre 2022, il management ha affermato che le vendite internazionali erano “piccole” e che l’attività internazionale era ancora nelle fasi iniziali. JP Morgan valuta il PDD con 28x P/E 2023E ‘nella fascia alta del range storico delle principali società Internet cinesi’ sulla base delle prospettive di crescita e ‘grazie all’opzionalità del TEMU’. Goldman Sachs pone maggiore enfasi sul TEMU, applaude il successo del lancio (abbastanza ampiamente; probabilmente sponsorizzato da PDD) e prevede contributi materiali agli utili dal 2027 in poi”.
Il PDD è una “scatola nera” contabile. Il modello di divulgazione dell’azienda prevede di rivelare sempre meno i suoi parametri operativi con il passare del tempo. Anche l’analista sell-side capitola. Il parametro principale del PDD sta diminuendo rapidamente e in modo sequenziale. La sua mancanza di divulgazione è così grave che persino l’analista lato vendita lo sta sottolineando. Secondo il rapporto, uno dei parametri più importanti di PDD, DAU (Daily Active Users), è diminuito del 9% in sequenza nel mese di marzo da febbraio, nonostante la massiccia spesa pubblicitaria, e per la prima volta da febbraio 2022. Il calo si è accelerato fino a raggiungere un calo anno su anno di oltre il 20% nel giugno 2023. PDD ha smesso di divulgare il proprio parametro DAU.
Spiega Grizzly Research: “Riteniamo che i risultati degli utili del PDD negli ultimi anni siano anomali. Sia JD che Alibaba mostrano debolezza in termini di crescita e redditività, ma PDD sta mostrando forza in termini di crescita e redditività. Le ragioni addotte dalla direzione del PDD non sono convincenti. Anche l’analista lato vendita sostiene che il management dell’azienda non rivela abbastanza”.
Nel frattempo, il PDD ha eliminato l’informativa sui parametri operativi, il che rende più difficile per gli investitori e gli analisti analizzare i risultati degli utili. Ad esempio, tra il primo trimestre del 2021 e il terzo trimestre del 2021, PDD ha smesso di divulgare il GMV di dodici mesi e la spesa annuale per acquirente attivo nei numeri del periodo di dodici mesi, quindi ha divulgato nuovamente questi due numeri nel quarto trimestre del 2021 e da allora ha smesso di divulgarli due numeri a partire dal primo trimestre del 2022. Inoltre, a partire dal secondo trimestre del 2022, PDD ha smesso di divulgare anche il numero degli utenti attivi mensili medi e il numero degli acquirenti attivi su dodici mesi. In altre parole, il PDD rende pubblici sempre meno parametri nella pubblicazione degli utili, ed è diventato sempre più vago per gli investitori in termini di parametri divulgati.
Inoltre, è difficile immaginare che, essendo una società con una capitalizzazione di mercato di 135 miliardi di dollari alla data di pubblicazione, PDD non abbia mai avuto un Chief Financial Officer (CFO) da quando è stata quotata in borsa nel 2018. Questo è molto insolito a nostro avviso. Sembra che la società affermi che il suo vicepresidente delle finanze è responsabile della contabilità e dei dati finanziari della società. Tuttavia, uno sguardo dettagliato alla sua posizione di vicepresidente delle finanze ci farebbe riflettere.
Ci sono almeno 3 persone impiegate come vicepresidente finanziario dal 2018, inoltre la società non ha nemmeno avuto un vicepresidente finanziario (per non parlare del direttore finanziario) da oltre un anno. Come può un investitore prudente fidarsi dei dati finanziari di una società che ha avuto questa mancanza di supervisione finanziaria dal giorno in cui è stata quotata in borsa nel 2018? Questa è una governance degna di una società OTC a piccola capitalizzazione.
PDD ha una storia di modifiche al conteggio dei dipendenti sul proprio sito Web ufficiale, il che dovrebbe indurre gli investitori a mettere in dubbio il conteggio dei dipendenti riportati nei suoi rapporti annuali, mettendo così in discussione le spese dichiarate relative ai propri dipendenti e la redditività complessiva dell’azienda. Ancora un altro esempio di contabilità “nascondi la palla”.
Ci sono tre incidenti che indicano la probabilità di un massiccio trasferimento di ordini sulle piattaforme PDD.
1) In base alla conversazione di Grizzly Research con l'”esperto di order brushing”, quando le persone aprivano nuovi negozi sulla piattaforma Pinduoduo, il proprietario del negozio poteva concedere l’accesso all’esperto di order brushing. A seconda dei termini stabiliti tra due parti, ad esempio, il nuovo proprietario del negozio potrebbe chiedere quante transazioni sono avvenute durante un determinato periodo di tempo, quante recensioni positive avrebbe ricevuto il negozio e così via. Il proprietario dovrà pagare delle commissioni per l’ordine esperto di spazzolatura, a seconda delle condizioni. Per essere chiari, non è probabile che PDD esegua l’order brushing. Tuttavia, PDD, così come altre piattaforme di e-commerce, sanno sicuramente che è in corso l’order brushing. Chiude un occhio e lo permette.
2) Ci sono stati anche commenti sul forum di investimento secondo cui un presunto venditore sulla piattaforma Pinduoduo ha osservato che al mattino presto e alla sera uscivano un gran numero di ordini dal back-end di PDD, che poi venivano cancellati. Anche se tali ordini venissero annullati, Pinduoduo incasserebbe comunque lo 0,6% di tali transazioni di pagamento. Non è chiara la portata di questo tipo di attività, ma ciò indica che un numero elevato e ripetuto di “transazioni anomale” fa parte della cultura PDD.
3) Secondo questo articolo, la CCTV in Cina ha riferito nell’agosto 2020 dell’esistenza di una piattaforma di e-commerce utilizzata dall’organizzazione di lavanderia transfrontaliera per riciclare 7 miliardi di RMB. L’articolo affermava che i lettori avrebbero potuto già aver sentito parlare di “order brushing”, ma il collegamento tra ordini falsi e riciclaggio di denaro reale è apparentemente il vero motivo per cui sono comparsi questi casi di order brushing. Secondo l’articolo, due criminali controllavano migliaia di siti web di “pacchi vuoti” e c’erano circa 600 milioni di questi ordini logistici [per pacchi vuoti]. Successivamente si è scoperto che questi pacchetti vuoti venivano effettivamente utilizzati come pagamenti per le transazioni del gioco d’azzardo transfrontaliero. All’inizio di giugno [2020], la polizia della città di Wuxi ha arrestato 40 persone coinvolte in 15 città. La polizia di Wuxi ha confrontato i numeri degli ordini di pacchi vuoti e molti di questi ordini sono apparsi in due casi di riciclaggio di denaro da gioco d’azzardo transfrontaliero per un importo totale di fondi di 7 miliardi di RMB.
Conclusione: rischi di allarme per le azioni PDD (TEMU)
Attraverso molteplici iterazioni nell’arco di diversi anni, e anche dopo essere stato espulso dal Google Play Store a marzo, TEMU sta portando avanti i suoi sforzi di sviluppo software alla ricerca della massima invasività, abusività e furtività. Secondo Grizzly Research, “l’etica aziendale riflessa nei confronti degli Stati Uniti e dell’Europa è: qualunque cosa pur di riuscire a farla franca. Al di là del malware/spyware, raramente abbiamo visto un’azienda mostrare un atteggiamento così coerente di impunità, a tutti i livelli di politica, esecuzione e governance, relazioni con clienti e fornitori”.
Considerate tutte queste azioni in malafede, è difficile credere che il mercato abbia conferito al PDD una capitalizzazione di mercato di circa 135 miliardi di dollari. Il modo in cui si è guadagnata l’accesso ai mercati dei capitali statunitensi per finanziare le proprie attività è cupamente ironico. Questo è un castello di carte. I rischi di un intervento normativo catastrofico appaiono da ogni parte. Eppure l’azienda si comporta come se fosse del tutto irresponsabile. Conclude Grizzly Research: “Ci sembra che l’ultima impresa della PDD sia una mossa disperata poiché il loro business cinese è in rapido declino e il peso dei numeri falsificati continua a gravare sulla società”.
