灰熊研究做空拼多多报告全文：这是一个垂死的欺诈公司，其购物程序 TEMU 是一个隐藏间谍软件的应用，对美国国家利益构成紧急安全威胁

政经深度 9月 7, 2023

美国做空机构灰熊研究（Grizzly Research）发布研究报告称，拼多多是一家濒临倒闭的诈骗公司，其购物应用程序 TEMU 巧妙隐藏间谍软件，对美国国家利益构成紧急安全威胁。加美财经编译，仅供参考，不代表支持文中观点或者确认其中事实。

以下为报告摘要：

TEMU 应用程序软件具有最具攻击性的恶意软件/间谍软件的所有特征。

该应用程序具有隐藏功能，可在用户不知情的情况下进行大规模的数据外渗，使坏人有可能完全访问客户移动设备上的几乎所有数据。

很明显，这个软件在故意隐藏其恶意意图和侵入性方面做了大量工作。

我们聘请了许多独立的数据安全专家对 TEMU 应用程序的代码进行反编译和分析，其中包括我们自己员工中的专家以及在公共领域独立撰写文章的分析师。

造成大规模数据外泄危险的原因是，TEMU 应用程序的快速普及：在过去 9 个月中，该应用程序的下载量超过 1 亿次，全部在美国和欧洲。中国市场尚未提供 TEMU。

TEMU 应用程序开发团队包括 100 名工程师，他们曾开发过拼多多应用程序，该应用程序曾被谷歌应用商店停用。

拼多多应用程序是通过删除 “不良部分 “而在谷歌商店恢复，其中一些部分与 TEMU 应用程序的组件完全相同，这强烈表明了恶意意图。

我们强烈怀疑 TEMU 已经或打算非法出售从西方国家客户那里窃取的数据，以维持注定要失败的商业模式。

中国的廉价购物应用程序已经证明，这种商业模式根本无法持续盈利。Wish.com是一个突出的案例，而Shein则是当前一个咄咄逼人的竞争对手。TikTok 已宣布进入这一领域。

据估计（链接），TEMU 每笔订单亏损 30 美元。其广告支出和运输成本（从中国发货需要 1-2 周，美国加急）都是天文数字。人们不禁要问，这种业务怎么可能盈利？

在同行业中，TEMU 是一个臭名昭著的不良行为者。我们看到的是猖獗的用户操纵、类似于连锁信的亲和力骗局来推动注册，综合来看，是用最激进、最有问题的技术来操纵大量的人安装应用程序。

美国国会的一个委员会已经起草了 HR 1153 号法案，该法案将严重损害 TEMU 的商业模式和/或授权美国总统禁止其进入美国，允许美国惩罚 TEMU 在不知情或未经许可的情况下将用户个人数据外流到中国的行为。

法案强有力的弥补了一个漏洞，这个漏洞使 TEMU 可以免邮费、免海关检查、免关税地接触美国消费者。美国企业并不享有进入中国消费市场的对称权利。

TEMU 显然比 TikTok 更危险，应从谷歌和苹果应用商店下架。

我们认为拼多多的财务数据出了名的不可靠。
就连通常喜欢宣传的卖方分析师也指出，随着信息披露变得越来越不透明，拼多多会计工作就像一个 “黑盒子”。

尽管是一家市值约 1350 亿美元的公司，但 PDD 自 2018 年以来就没有财务总监。关键财务职位就像一扇旋转门。似乎没有问责制。

根据我们的判断，安永华明会计师事务所的当地审计合伙人不值得信赖，他们曾审计过许多中国公司，而这些公司的股票在过去被证明几乎毫无价值。

我们的分析表明，根据拼多多在中国的声明，他们可能向美国投资者少报了员工人数。少报员工人数会夸大财务报告中的盈利能力。

据报道，拼多多曾卷入重大刷单丑闻，并被指控通过拼多多平台洗掉了 70 亿人民币的非法赌博流量。

重要的运营指标显示，拼多多的中国业务正在迅速下滑，在与阿里巴巴和京东等竞争对手的激烈竞争中败下阵来。

阿里在中国的监管问题似乎已于 2023 年 7 月得到解决。没有了监管干预的负担，我们认为阿里巴巴将从拼多多手中抢走大量份额。

与此同时，京东也在加大力度抢占拼多多的市场份额，并已初见成效。

中国的多个数据来源和高盛都已报告，拼多多的日均用户（DAU）指标开始加速下滑。6 月份 DAU 的同比降幅超过了 20%。在我们看来，这似乎是一项快速恶化的业务。

拼多多是一家为内部人而不是股东谋利益的企业。PDD Holdings 建立了自己使用的支付平台。然而，管理层将整个支付业务据为己有（阿里支付的玩法）。我们认为，管理层私自保留了业务中最具吸引力的部分。

大量股票下落不明。据报道，价值数十亿美元的股票 “失踪 “了。一些股票据说被捐给了慈善机构，有些捐给了风险投资人。我们认为缺乏透明度是另一个危险信号。

第 1 部分：我们认为 TEMU 是广泛流传的最危险应用程序

TEMU 应用程序中高度危险的间谍软件/恶意软件特征

多位专家对拼多多应用程序软件的分析，显示出所有令人担忧的迹象。调用外部设备数据和侵犯用户隐私的功能，比任何知名的消费者购物应用程序都要激进得多。

我们的专家，确定了一系列与此类软件完全不相称且具有危险性的软件功能，TEMU 使用了所有这些功能。

TEMU 中出现的安全问题与竞争对手应用程序的比较。*
注意 TEMU 显示所有 18 个红色威胁，TikTok ( 10 个绿色 ) 和 SHEIN ( 9 个绿色 ) 属于最不危险的。只有 TEMU 被标记为红色的问题（第 1 行、第 4 行、第 10 行和第 15 行）属于最危险的问题，也是最有可能组合成实际间谍软件的问题。
这些问题出现在专有代码、模糊代码和/或来自很少使用的代码库的代码中，是由一家小公司编制的拙劣程序。
* 本分析在截至 2023 年 8 月 30 日的 1.99 以下的多个 TEMU 版本上进行。

我们在反编译源代码的专有部分，找到了 android.permission 条目，”很少使用 “的代码库，指的是那些并非直接来自本声明中提到的值得信赖的大型科技公司的代码库。通常的做法是只使用大型科技公司编写的库。

非常有选择性地激活最具侵犯性的功能，或 TEMU 能够从中国的服务器按需调用这些功能，或者在更新或动态(运行时)编译中加载更具侵入性的行为，这些都隐现在安装的 TEMU 应用程序的风险概况中。

侵犯消费者隐私的文化与美国立法者的要求发生冲突

这些外流数据会流向哪里？中国已经实施了一项法律，”国家保护支持、配合、协作国家情报工作的个人和组织”。

中国公司只有在中国政府机构可以访问其全部数据库的情况下才能运营( 链接 ) 。特别是，十多年来，中国军方一直与针对美国的黑客攻击密切相关。

随着中美之间的贸易、国防和技术紧张局势迫在眉睫，我们完全有理由相信，中国政府会对一家公司在 10 英尺范围内窃取用户位置，以及属于 “利益相关方 “的高度个人数据的能力感兴趣：美国政府雇员、美国军队成员、警察和安全人员、大学研究人员、中国外籍人士，以及受压迫的少数民族成员，他们的家人可能是任何西方国家的 TEMU 客户。

当然，中国国家安全机构也对任何与他们联系的美国公民的来往短信感兴趣。购买模式与地理位置和个人数据相结合，可能会揭示有关我们任何人的可操作情报。

当你想到我们的政治立场有可能被一个通过人工智能引擎运行我们的智能手机数据的外国评估和操纵时，风险不仅变得具体，而且被放大了。

我们相信，许多美国立法者已经认为这些风险高得令人无法接受，美国公司在中国这样做根本不可能获得公平对等的机会。(这不是一个自由派与保守派僵持不下的问题。两党的立法者现在都在参与这些问题）。

国会已经参与其中。他们只需要明白，TikTok 并不是我们面临的最大威胁，TEMU才是！

HR 1153 已提交国会，但大多数人都认为它是关于禁止 TikTok 的！请继续阅读！

HR 1153 的部分内容如下

美国财政部可以发布指令，禁止美国人与故意向任何受中国影响的外国人士提供或可能提供受美国司法管辖的敏感个人数据的人进行任何交易。

该法案还对某些与关联软件应用相关的交易制定了新的制裁措施。例如，总统必须对在知情的情况下运营、指导或交易受中国管辖的连接软件应用程序，且有理由相信该软件已被或可能被用于促进或有助于中国的军事、情报、审查、监视、网络或信息活动的任何外国人实施制裁。

安全专家和政界人士普遍认为，中国公司获取的任何用户数据都会进入中国安全部门可访问的数据库。但我们要告诉你的是，为什么 TEMU 的应用程序比 TikTok 可能做的任何事情都要危险得多。

恶意软件的遗产： TEMU 应用程序是恶意间谍软件，其代码库与拼多多之前停用的应用程序共享

有确凿证据表明，拼多多的TEMU 应用程序中，含有最近导致拼多多主应用被停用（后又恢复）的元素。

拼多多的恶意软件行为并非偶然。拼多多招募并雇佣了一个由 100 名程序员组成的团队，寻找并利用安卓系统的 OEM 定制（安装在主流品牌的低价智能手机上），意图利用比主流安卓代码库更少被审计的漏洞（估计有 50 多个此类漏洞成为目标）。

据美国有线电视新闻网（CNN）报道（链接），拼多多的策略之一是只在中国的小城镇和其他农村欠发达地区运行这些软件，避开北京和上海，以逃避开发过程中的检测。

“我们从未见过像这样的主流应用程序m试图通过提升权限来访问他们本不该访问的东西。这是非常不寻常的，这对拼多多来说是非常不利的”。

– 网络安全专家 Mikko Hyppὃnen。

“我以前从未见过这样的事情。它的扩展性超强。”

安卓安全专家、Oversecured 创始人谢尔盖·托申（Sergey Toshin）

2023 年 3 月 21 日，谷歌宣布暂停拼多多应用程序的谷歌 Play 商店版本，原因是在谷歌自己的 Play 商店之外的版本中发现了恶意软件问题，这也是出于安全考虑。(虽然恶意软件在应用商店中很常见，但安装 “下载 “应用的风险更大）。

在谷歌的 Play 商店暂停了拼多多的下载后，拼多多的母公司大张旗鼓地发布了更新，声称删除了恶意软件（请参阅我们对这一突然变化的技术讨论，以及我们从中学到的东西，见下文）。

拼多多解散并 “开除 “了恶意软件团队。但这只是做做样子。当然，他们立即被拼多多的另一家公司 TEMU 雇用，并被 “重新分配”。(同上，CNN 报道）。

应用程序软件分析和专家报价

与搜索恶意软件/间谍软件的任何探针一样，我们的分析从搜索具有侵略性、潜在侵入性的系统调用开始，这些调用是执行代码的组成部分，有能力外泄不适当的用户信息，违反应用程序商店政策，侵犯用户隐私。

需要特别注意的是，软件执行的目的是隐藏或混淆恶意行为，使其无法被分析师和/或自动安全扫描发现。

本节是技术性的，因为恶意软件/间谍软件的创建和检测，是软件工程师进行的一场猫捉老鼠的游戏。

以下是在 TEMU 应用程序中发现的一些安全问题：

1) 使用 runtime.exec() 进行动态编译。源代码中的一个加密函数使用 runtime.exec()调用 “软件包编译”。

编译是从人类可读代码中创建计算机可执行文件的过程。在安装应用程序之前或安装过程中，甚至在精心设计的渗透测试中，安全扫描都无法看到由该功能创建的可执行文件。

因此，TEMU 的应用程序可以通过谷歌 Play Store 的所有测试，尽管为无限制地使用漏洞利用方法敞开了大门。本地编译甚至允许软件使用设备上的其他数据，而这些数据本身可能是利用 TEMU 服务器的信息动态创建的。

这很糟糕。这真的很糟糕，因为如果他们在本地编译软件包，那么他们就可以在任何时候为所欲为。这意味着你无法进行分析，因为系统确实是动态的。

仅这一项功能就是一张 “通配符”，笼罩着大多数恶意软件的特定风险。这就好比在争论谁有最多的钥匙闯入一栋大楼时，你手里却拿着万能钥匙。

换句话说，如果删除了所有其他的不良代码，而这一个后门却因其隐蔽性而未被发现，那么该应用程序就会变得同样恶毒，因为它可以在外国服务器的控制下，以几乎所有可能的方式改变自己的行为，并对应用程序的所有未来发展、法规和所有其他可能的影响做出反应。

例如，TEMU 有可能发送源代码，将其加密并伪装成任何可疑数据，然后编译成客户端手机上的可执行文件。

与上表安全问题第 1 行相对应的 TEMU 应用程序代码、使用 runtime.exec() 执行动态编译。

2) 我们发现反编译源代码的专有部分，引用了 android.permission 条目，但不包括在 Android、Google、Facebook、PayPal 和 Klarna 广泛使用的安全标准库中出现的条目。

如果专有源代码无法在特定情况下使用这些权限，为什么还要引用它们呢？最重要的是，TEMU 源代码中的许多权限并未在其 Android Manifest 文件中列出，而该文件是应用程序的标准化概述源文件。

要仔细检查权限，Android Manifest 文件是检查权限的第一个来源。在 Android 清单中没有提及的权限请求包括 CAMERA、RECORD_AUDIO、WRITE_EXTERNAL_STORAGE、INSTALL_PACKAGES 和 ACCESS_FINE_LOCATION。

当然，这些权限也是最具间谍潜质的权限。

作为比较，同类表中列出的所有其他应用程序，都在其 Android Manifest 中列举了所有这些权限，如果它们使用了这些权限的话。

唯一的例外是 TikTok 的 ACCESS_FINE_LOCATION。

3) TEMU 查询的是与文件相关的信息，而不仅仅是它自己的文件，它希望通过引用 “EXTERNAL_STORAGE”、超级用户权限和日志文件，获得用户设备上所有文件的信息。

换句话说，根据具体的 Android 版本，该应用程序可用于读取、处理和修改所有用户和系统数据：聊天记录、图片、其他应用程序上的用户内容等。

3a) 应用程序包括文件上传功能，该功能基于连接到其应用程序接口 “us.temu.com “的命令服务器。

这意味着，一旦用户授予 TEMU 应用程序文件存储权限，即使是在不知情的情况下，TEMU 也能远程收集用户设备上的所有文件，并将其发送到自己的服务器上。其他侵犯隐私的权限也是如此。

注意：许多（如果不是全部）用户在面对应用程序安装对话框时，在不了解后果的情况下，通常会感到疲劳和不耐烦。TEMU 和亚马逊、Ebay 等其他主要购物应用程序一样，在安装或运行过程中都会或多或少地访问用户的文件系统和地理位置。我们估计，只有不到 10%的用户会有足够的觉悟，拒绝向一个编程团队和主服务器都在中国的应用程序授予这些权限。

但对于大多数用户来说，这只是一个复选框，一旦完成，就会被遗忘。这就好比你要去度个长假，但家里的保险箱却没有上锁。稍后再详述。

3b) 偷加权限请求，后果严重。

具体操作如下。刚安装 TEMU 应用程序时，它不会主动要求很多权限。但是，举个例子，当你知道你可以发布一张图片，TEMU 就可以在其列表中搜索类似的商品，你可能会想试试这个吸引人的功能。

搜索类似照片的商品，TEMU 会询问你的位置。

你上传了一张衬衫的照片。TEMU 会弹出一个普通的 Android 屏幕，要求你允许精确或近似定位。(请注意，它默认为 “精确”。）由于上下文的关系，记得你刚才正试图从相机上传照片，你认为你被要求允许在 TEMU 应用程序中拍摄的照片上发布你的位置。

于是，你点击了 “使用应用程序时”，继续你的快乐之旅。现在你可以花 3 美元买一个金属蓝色的电脑鼠标，或者花不到 4 美元买一件像你屏幕上那张酷酷的照片一样的沙滩衫。

好极了！

你怎么会知道，只要你使用 TEMU 的应用程序，TEMU 就能获取你在 10 英尺范围内的位置信息？

为什么 TEMU 要在这个时候征求你的同意？问得好！

要知道，并没有授予相机 “精确 “定位的特定权限。在这种情况下，只要您使用 TEMU 应用程序，您就授予了手机 “精确 “定位权限（FINE_PERMISSION）。

你不会怀疑，TEMU 应用程序其实包含一整套恶意软件/间谍软件工具，可以在你的手机上做任何它想做的事，并在后台将手机上存储的几乎所有内容发送到它自己的服务器。它掩盖了自己的意图，因为侵犯个人隐私的软件，一般不允许在谷歌的 Play Store 或苹果的 App Store 上发布。

向 TEMU 提出一个看似无害的权限请求，你就等于把你家的电子版钥匙、车钥匙、保险箱密码、文件抽屉钥匙、照片存储空间等等等等……全部拱手相让。

4) 位置、位置、位置。

安卓系统专门设置了 ACCESS_COARSE_LOCATION 功能，以便应用程序在不泄露用户隐私的情况下获取一定程度的位置数据。

但 TEMU 会使用这个功能吗？没有！从上面的应用程序对比表中可以看出，TEMU 使用了 ACCESS_FINE_LOCATION，以了解你在 10 英尺左右的范围内的位置，这种查询非常具有侵扰性，以至于 Android 团队本身竭尽所能阻止使用 ACCESS_FINE_LOCATION，除非是核心应用程序功能绝对需要的情况（如地图应用程序）。( 链接 )

你要问 TEMU 现在能确定你的确切位置吗？据我们所知，只有在 TEMU 应用程序运行时才能确定。除此之外，很遗憾，我们的安全专家无法告诉你。这取决于……你运行的是什么版本的安卓系统，取决于你授予 TEMU 应用程序的权限，以及你现在是否连接了一个或多个信号塔。

TEMU 的应用程序代码引用了 ACCESS_FINE_LOCATION（除非核心功能特别需要，否则开发人员会将其视为干扰项）。

我们希望这个例子能帮助澄清，我们在分享这些发现时所感受到的个人紧迫感。

5) “根 “访问。

TEMU 会检查设备是否有 “root “权限。有了 root 访问权限，用户和 TEMU 应用程序不仅可以读取、修改和写入用户文件，还可以读取、修改和写入设备上的所有文件，包括其他应用程序和操作系统的所有程序。

理论上，只要用户拥有 “root “权限，TEMU 拥有文件写入权限，TEMU 就能侵入任何设备。最大危险！

6) 拼多多和 TEMU 应用程序的早期版本中存在加密、解密和移位整数信号库。

这样做的唯一目的是掩盖恶意意图。拼多多被 Google 发现后，迅速删除了这两个应用程序中的这一组件。对拼多多和 TEMU 代码库的这一突然变化进行前后分析，可得出更多结论。详情请参见 “拼多多的’清理’操作分析 “部分。

“嗯，这是混淆，恶意代码当然希望被混淆。出于你所说的原因，我并不喜欢这种东西，但有些人却想用混淆代码来保护他们的商业机密。我不赞成。结合上述情况（可加载的编译代码）和混淆，我认为这是一个令人担忧的问题”。

7）安卓版本和 OEM 漏洞。

TEMU的软件团队包括编写拼多多应用程序的工程师，该应用程序包含50多个Android安全弱点的漏洞利用，（链接）其中包括许多为OEM定制代码编写的漏洞利用，而OEM定制代码的安全性低于主要的Android代码库。有关安卓版本的信息是通过系统调用查询的。

8) 调试器已经就位。

代码中的调用包括查询 Debug.isDebuggerConnected()，向运行中的应用程序显示是否有调试器。

我们认为，这样做的目的是阻碍或掩盖对应用程序的分析，如果分析人员正在动态检查应用程序，这很可能会改变应用程序的行为。

“对我来说，这是一个巨大的警讯。这比什么都重要。检测到调试器意味着，你不想让其他人知道你在运行什么代码。”

9）用户的系统日志 TEMU 应用程序正在引用 TEMU 自身应用程序范围之外的系统数据。

TEMU 似乎读取了用户的系统日志。这使 TEMU 能够跟踪用户在设备上运行的其他应用程序的操作。

对于不懂技术的人来说，系统日志文件提供了设备上所有进程的详尽细节，包括错误、网络警告等。它是设备的秘密日记，详细记录了设备的所有错误和失误。TEMU 的代码引用了日志文件的地址和 shell 命令的选项。在专有代码中引入这些字符串的唯一原因就是收集日志数据，以观察用户对设备的使用情况。

据此，TEMU 的应用程序使用 getRunningAppProcesses() 请求运行中的进程列表，这与日志文件一起似乎使应用程序对整个设备的活动进行了相当彻底的调查。

10) 请提供许可证和注册信息。

TEMU 要求提供 MAC 地址和其他设备信息，并将其插入 JSON 对象发送到服务器。这一点尤其咄咄逼人。为什么购物应用程序需要客户设备技术细节数据库？

MAC 地址是任何网络中任何设备的全球唯一标识符。这意味着，在与服务器通信时，TEMU 有可能向特定设备上的特定用户发送信息和源代码。

TEMU 应用程序代码与安全问题表第 10 行相对应、
参考存储在 JSON 对象中的特定设备 MAC 地址。

TEMU 应用程序甚至读取并存储 MAC 地址，这是设备的唯一全局硬编码网络标识符。这是互联网安全的大忌。可以想象，分布式拒绝服务（DDOS）攻击和其他不必要的安全探测都可能针对披露的 MAC 地址发起。

11) 在使用智能手机时偷窥。

TEMU 调用 getWindow().getDecorView().getRootView()进行截图，并将截图结果存储到文件中。截图曾被用作监视客户活动的便捷方法。

你的电脑屏幕上有什么其他程序和数据，关 TEMU 什么事？

“众所周知，这是一种滥用行为。这是滥用程序知道您安装了其他程序的方式。它还可用于黑客攻击凭证等。……这是一个危险。另一个大警讯”。

12) 被操纵的转盘。

当您点击 TEMU 显示广告或谷歌显示的 “产品展示”（横向滚动）广告时，您的点击会进入 TEMU，其他数据也会进入 TEMU，包括您点击的产品（许多 TEMU 广告显示多个产品，见下文，谁知道还有什么）。

被操纵的转盘总是执行相同的小脚本。它总是停在 “再给我一次机会 “上，然后即使你试图离开，它也会停在折扣最大的亮橙色楔形上……每次都是如此。如果你对这个小把戏失去耐心，你就无法点击 “X “退出。你就被俘虏了，你必须关闭浏览器窗口才能离开。

13) 为什么服务提供商会刻意任意降低加密标准？

一旦用户向 TEMU 授予了文件存储权限，即使是无意中或由于不知道这是什么或为什么会招致问题，（见上文第 3）和 3a 点）TEMU 就可以读取和传输用户系统中的任何和所有文件，几乎不需要加密。

14) 灯光、摄像机、行动！

只要 TEMU 应用程序正在运行，它就可以访问用户的摄像头和麦克风。为什么购物应用程序需要访问您的摄像头和麦克风？该应用偶尔会使用摄像头，例如在应用的评论和图片搜索部分上传用户图片。

不过，在测试过程中，我们没有发现 RECORD_AUDIO 访问权限的任何应用。录制音频显然是一个非常容易被利用的功能，以达到间谍目的。

15) 复杂的动态 DNS 命名。

每当 TEMU 用户登录 WiFi 网络时，应用程序都会向静态 IP 20.15.0.9 发起互联网请求，并收到一个加密字符串。在 TEMU 的源代码中，一个函数 DnsConfigInfo() 引用了这个 IP，表明互联网请求与 TEMU 动态命名网址有关。

当然，该函数的名称也可能是一种误导性的伪装。我们的分析人员质疑为什么这种交换是加密的，为什么 TEMU 在美国拥有静态 IP 地址的情况下还要使用一层明显复杂的动态命名。

“如果我们只发现了这些可疑之处，我们就不会写这份报告了。然而，在其他事情的共同作用下，我们感到担忧”。

我们不禁要问，这是否是一个 IP 隧道、IP 前置或 TEMU 以其他方式与 temu.com 以外的服务器建立 “私人 “连接的实例？我们的专家看不出购物应用程序需要这样做的理由。该 IP 连接最终端的服务器位置仍然未知。(可能有中间 “跳转 “来隐藏其位置）。

你想知道自己的个人数据是否通过了这个代码创建的门户？或者您孩子或朋友的数据？只有 TEMU 知道。如果没有传票，TEMU 似乎不太可能透露美国客户数据的情况。

总结一下

灰熊研究公司：那么，综合考虑这些因素，您认为这是恶意软件/间谍软件的可能性有多大？这是否是有意躲避 App Store 安全扫描的迹象？

“是的，绝对是的。”

此外，一位分析师报告说：”TEMU 会在应用程序加载后，立即发送大量详细的用户和系统数据元素。用户的系统会被详细查询，因此所有信息都可以发送到 TEMU 服务器。(收集此类信息无需用户许可。）

问责制，有人知道吗？当传票送达 TEMU 美国公司时，我们怀疑 TEMU 的 “波士顿总部 “是否准备好作为美国法律的问责点。该办事处应该是 TEMU 美国业务的一个有效的美国送达点，而且宣布设立 “美国总部 “可以确定民事诉讼的地点。相比之下，起诉一家位于开曼群岛 VIE 背后的中国公司则毫无胜算。

根据 CNN 的报道，负责恶意代码的团队不在波士顿或都柏林，而是在上海。

单独来看，这些系统调用中的许多可能会被写成 “程序员的马虎 “或 “其他一些应用程序也这样做”。但在经验丰富的间谍软件制作团队手中，这些调用组合在一起，就能提供一个完整的工具库，几乎可以窃取用户设备上的所有私人数据，并在远程服务器触发命令后执行几乎任何恶意操作。

保密帷幕背后是什么？

我们的分析师还注意到，软件中至少有两个非同寻常的线索，反映出应用程序工程师强烈希望故意隐藏和掩盖应用程序在执行时的实际操作。这两个线索是：

加密、解密或移位整数信号–掩盖源代码和系统调用的技术，这样当应用商店执行安全扫描时，侵入性和危险性调用就很难被发现。拼多多被谷歌发现时，它在一个单独的模块中使用了这种专有函数库。但它很快就将其从两款应用中删除，并恢复了原样。该团队现在为 TEMU 工作。( 链接 ) 因此，专业知识和经验是存在的。详见下一节。

runtime.exec()–上表中安全问题比较应用程序的第 1 行，我们上面列表中的 1)，也是恶意软件的 “圣杯 “技术之一，它是一种隐蔽的方法，可以在运行时将编译过的代码植入用户系统，而这些代码不会被任何安全检测扫描发现。

通过运行时执行()，恶意代码的配方可以从存储在连接服务器上的信息直接导入应用程序，并在用户设备上 “按需烹制 “成可执行片段，以便在需要时执行入侵行为，而之所以采用这种方式，是因为编写代码的软件工程师希望它不会被检测到。

基于这些发现，与 Grizzly Research 签订合同的众多专家都得出结论，TEMU 应用程序是一种毒性极强的恶意软件/间谍软件。

Joesandbox 分析

对 GitHub 上受影响版本的 pinduoduo-6-49-0.apk 源代码的分析总结如下： “你可以找到多个针对不同[安卓]手机制造商系统的特权升级漏洞利用代码”。

瑞士网络安全公司 Joe Security LLC ( 链接 ) 提供了一个 “深度恶意软件分析 “工具 JoeSandbox，专门用于安卓应用程序。不出所料，JoeSandbox 对 pinduoduo-6-49-0.apk 的分析结果如下：

与 GitHub 上源代码分析的评论一致，在间谍软件、入侵者和开发者类别中发现了恶意部分。

拼多多应用程序 (pinduoduo-6-49-0) 的 “恶意 “指数为 64/100。相比之下，Ebay 的 Android 应用程序在 JoeSandbox 的评分为 18/100，被归类为 “干净”。

我们在 GitHub 数据库中找到了对 “com-einnovation-temu1680926400.apk “软件包的分析，该软件包执行于 2023 年 4 月 21 日。该名称不符合 TEMU 的命名惯例，但分析文件的字节大小和 MD5 哈希值与 TEMU 1.61.1 Android 应用程序版本（”TEMU_Shop Like a Billionaire_1.61.1_Apkpure.apk”，发布于 2023 年 4 月 14 日）完全相同。

JoeSandbox 给 TEMU 的应用程序打出了 68/100 的高分，比停运的拼多多6-49-0 应用程序还要 “恶意”。

与母公司的恶意软件一样，TEMU 的应用程序在间谍软件、逃避者和剥削者类别中的恶意程度几乎相同。

拼多多主程序被 Google Play 商店暂停时的 “清理 “行动分析

谷歌暂停拼多多后 TEMU 的大 “清理 “行动

拼多多于 2023 年 3 月 21 日被谷歌暂停服务后，该公司被迫对其应用程序进行快速清理，以重新进入谷歌的 Play Store。因此，在将受影响的 pinduoduo-6-49-0 版本与取代它的版本进行比较时，相应 APK 包中的许多文件已被更改或删除。在没有解释的情况下，TEMU 的应用程序中同时删除了相同的文件。

即使在 2023 年 3 月 20 日更新后，拼多多和 TEMU 应用程序显然仍是恶意的

正如 2023 年 3 月 10 日的分析所示，谷歌在暂停 6.49 版拼多多应用程序后，对其后台工程进行了深入讨论，甚至可能泄露了源代码。

该分析特别指出，在pinduoduo-6-49.0\assets\component\com.xunmeng.pinduoduo.AliveBaseAbility.7z中存在一个AliveBaseAbility/vmp_src/mw1.bin文件，该文件已从后续版本中删除。

然而，这并不能100%地保证该应用程序仍然没有恶意。JoeSandbox 对 2023 年 3 月 21 日的拼多多 6.50.3 版进行的分析表明，在 “间谍软件”、”逃避者 “和 “剥削者 “指标方面，存在与上述 TEMU 1.61.1 分析一致的问题。

根据这些结果，恶意软件统计服务 VirusTotal.com 将拼多多应用程序注册为 “恶意”。此外，3 家安全供应商标记了 6.49 版本的恶意软件，9 家安全供应商标记了 6.50.3 版本的恶意软件，3 家安全供应商标记了 6.53.0 版本的恶意软件。供应商ESET-NOD32甚至用 “A Variant Of Android/Pinduo.A “标记了拼多多 6.49.0版本，用 “A Variant Of Android/Pinduo.B “标记了6.53.0版本，明确指出拼多多更新了恶意软件，以通过谷歌的检查点，而不是删除其恶意意图和结构。

谷歌允许恶意程序重返 Play Store 可信吗？当然可信。在过去几年中，谷歌的机制屡次未能标记和禁止恶意软件。有能力的分析师已经在 ZDNET、Lifewire、卡巴斯基和《连线》等媒体上广泛报道了这一问题。实际上，恶意软件开发者往往先行一步，直到发布后才被技术分析师发现；而谷歌往往是在第三方分析师强调了具体问题后才做出反应。

由此我们可以推断，TEMU 在开发应用程序的过程中，也是出于对被停用的担心而进行了清理。我们列出了 2023 年 3 月 21 日前后在拼多多应用和 TEMU 应用中同时被删除的文件。

文件夹/文件名

lib/armeabi-v7a/libmanwe-lib.so

assets/building_bin/check.bin

APK 软件包比较：pinduoduo 6.49.0 (2023 年 2 月 23 日)、pinduoduo 6.53.0 (2023 年 3 月 29 日)、TEMU 1.55.0 (2023 年 3 月 17 日)、TEMU 1.58.1 (2023 年 4 月 6 日)。我们根据发布日期和可用性选择了这些版本。

已删除文件 lib/armeabi-v7a/libmanwe-lib.so

Libmanwe-lib.so 是一个机器语言库文件（已编译）。谷歌搜索显示，只有在拼多多软件中才会提到它，所有五个搜索结果均涉及拼多多的应用程序。根据 GitHub 上的讨论，”拼多多的恶意代码受到两套 VMP（manwe、nvwa）的保护”。Libmanwe 是使用 manwe 的库。

一位匿名用户向 GitHub 上传了 libmanwe-lib 的反编译版本。它看起来像是一个加密、解密或移位整数信号的方法列表，符合上述为隐藏程序目的而作为 VMP 的描述。

简而言之，TEMU 的应用程序采用了拼多多专有措施，将恶意代码隐藏在应用程序可执行文件的不透明气泡中。

已删除文件 assets/building_bin/check.bin

该文件仅以完全编译的形式存在。两个应用程序的版本不同，但都不小，分别为 82kB 和 102kB。在没有源代码的情况下，我们无法对其内容做出更明确的说明。不过，我们相信，考虑到有关拼多多 6.49.0 的调查结果以及从这两个应用程序中删除的情况，该文件可能揭示了恶意软件或其保护机制的进一步证据。

在某些时候，调查研究会碰壁，需要传票才能击穿。美国政府各机构拥有专业知识和法律权力，可以揭露互联网隐秘的这一黑暗角落。

最新发现：安卓系统上的 TEMU 与亚马逊应用程序的比较

根据我们对 TEMU 应用程序（TEMU 1.73.0）与亚马逊最新应用程序版本的标准渗透分析：

基本配置不安全，允许所有域的明文流量。(亚马逊：基础配置被配置为不允许向所有域传输明文流量）
使用了弱加密算法。
启用了远程 WebView 调试。
应用程序使用带有 PKCS5/PKCS7 填充的 CBC 加密模式。这个配置容易受到填充oracle攻击（Padding Oracle Attacks，填充oracle攻击是一种侧信道攻击，攻击者通过分析错误的填充信息（通常是通过某种形式的错误消息或者其他方式泄露）来获取有关加密数据的信息。因为这种攻击方式可以有效地解密数据，所以它是一种严重的安全威胁）。

iOS 上的 TEMU

至少检测到四个主要威胁问题：

所有网络连接都禁用了应用程序传输安全限制。禁用 ATS 意味着允许不安全的 HTTP 连接。HTTPS 连接也是允许的，但仍需接受默认服务器信任评估。不过，要求最低传输层安全（TLS）协议版本等扩展安全检查被禁用。
二进制使用不安全的 API。
二进制程序使用了不安全的 Random 函数。
二进制程序使用了 malloc 函数。

关于有意混淆的更多信息

应用程序软件包（com.einnovation.temu 1.80.4）反编译为 21,727 个 JAVA 文件，包含 4,322 个文件夹。其中 1,940 个文件夹和 8,681 个 JAVA 文件打包成机器生成的名称进行分发，以阻止分析。

这些文件夹和文件只能用反编译器随机分配的字母任意命名才能访问。我们怀疑存在恶意代码的类和函数也是如此。这些加密命名的文件、文件夹、类和函数以一种非常复杂的方式相互参照。因此，人类几乎不可能读懂反编译代码，我们相信 TEMU 在编译过程中使用了其他工具来创建这种混淆。TEMU 代码混淆最突出的指标是反编译后 JAVA 源代码的顶层视图。

查看 TEMU，分析人员会直接看到 1808 个加密命名的文件夹。相比之下，亚马逊和 Ebay 为 Android 应用程序打包的几乎所有 JAVA 文件和文件夹都有人类可读的名称。

一组小图标描述以中等置信度自动生成的 TEMU 应用程序文件夹名称，与安全问题表第 11 行相对应。参考通过使用无法跟踪的文件夹包装而故意模糊的情况。

在亚马逊的应用程序中，我们只在顶层看到一个加密命名的文件夹，而在 Ebay 的应用程序中则有三个。

APK 存档中消失的代码库

许多网站都会归档 Google Play 商店发布的 APK。然而，TEMU 的应用程序似乎已从许多这些存档中消失，特别是几乎所有谷歌页面排名 6 或更高且出现在谷歌搜索顶部的应用程序。

TEMU APK 已从所有具有美国司法管辖权的网站上删除，这表明 TEMU 采用的法律措施，可能是导致其被排除在网络档案之外的原因。APK 文件的不可访问性使恶意软件研究变得更加困难。

这些网站是否迫于 TEMU 律师的压力而删除了 TEMU 的 APK 文件？这是支持 TEMU 有所隐瞒这一结论的另一个观察结果。

如果这些提供商至少有一个主要应用程序可用，则条目为 “是”。此概述来自 2023 年 9 月 3 日。灰色框中的 “是 “表示文件版本过时。2023 年 6 月的流量数据由 SimilarWeb 提供。谷歌网页排名由 CheckPageRank.net 提供。

*该网站还有其他由匿名发布者制作的 APK，假名为 “TEMU”。 **最后版本更新于 2023 年 4 月 11 日（过时）

结论：这是恶意软件/间谍软件。到此为止。独立分析师亲笔撰写的专家意见

“我一直从事移动开发，然后是移动逆向工程，在我长期的专业知识领域中，我从未见过一个下载量超过 5000 万次的 apk 有如此多的用户隐私红旗。在我看来，该应用程序是一个明显的数据挖掘程序，又名 “间谍软件”，而且是一个危险的软件。

“可能有一个隐藏得很好的功能会触发攻击，它甚至可能暂时不存在于代码中，直到下一次动态更新时才会出现。”

“对我来说，像位置数据这样的东西肯定会引起我的警惕，因为我并没有设想到它的很多合法用途。而且我知道，出售位置数据是一项很大的副业。因此，如果他们想把使用其应用程序的用户的数据货币化，以此获得更多收入，那就是他们想要的结果。而且它甚至都没有说明它是如何让最终用户受益的。”

“如果他们把这些数据存储[或传输]到中国当局可以获取的地方，那么作为投资者，你完全合理的[美国]投资会因为这样愚蠢的事情而泡汤的几率就会相对较高。”

“个人数据销售是一项巨大的业务，而且非常隐蔽。我们对这些数据经纪商的所作所为知之甚少，而且在很多情况下，数据经纪商的所作所为在合法性方面属于灰色地带。举个例子，两三年前，Vizio 电视机公司的首席执行官谈到，他们从所销售的智能电视机中获取的数据如何使他们的电视机售价便宜约 50 美元。

“看起来他们正在做的事情是试图向分析师隐瞒他们正在做的事情。他们在检查运行中的调试器……你知道他们在获取运行中的进程……但有迹象表明，他们在寻找分析师，而这正是间谍软件会做的事情，所以我认为你在那里找到了一些东西。”

“我截获了该程序发送的 http 流量，我注意到的第一个异常情况是，一启动该程序，就有大量数据被发送。这些系统信息不应公开，这明显侵犯了用户的隐私。我真的不明白一个’购物’应用程序会对用户的操作流程做什么……更不用说他的手机序列号了”。

…… “文件上传功能基于连接到其 API ‘xxxx.yyyyy.zzzzzz.com’ 的命令服务器。这基本上意味着，如果用户向 TEMU 应用程序授予了文件存储权限–即使是偶然的–TEMU 就能从用户的设备上收集任何文件到自己的服务器上，任何文件，包括照片、私人文档等等”。

以上是一系列调查的结果，这些调查结果支持我们的观点，即 TEMU 应用程序是有目的、有意识地在下载和安装了 TEMU 应用程序的用户设备上加载工具，以执行恶意和危险的恶意软件和间谍软件活动。

TEMU 为肆无忌惮地掠夺客户数据奠定了软件基础。我们的工作人员通过大量的专家确认（包括我们聘请的专利专家，以及在公共领域独立发布的专家）进行分析，发现了恶意软件、间谍软件和多个级别的极具威胁性的软件行为。因此，为了以超低的价格换取某个小商品，我们警告你，TEMU 能够在你安装应用程序的那一刻起就侵入你的手机，覆盖你认为已经到位的数据隐私设置，以及你的意图，帮助自己获得你的联系人列表、你的精确位置，在某些情况下，控制你的相机、屏幕上运行的应用程序的截图，并且，根据你安装应用程序时可能给出的权限，你的短信和你手机上可能有的其他文件。

此外，TEMU 应用程序还会隐藏自己的意图，并掩盖对其入侵功能的检测。

你的个人数据–比你想象的要多得多–会被肆意转售用于营销目的，而且很可能会被中国安全部门用于数据挖掘目的。中国政府的安全人员或他们的人工智能计算机可能会查看你或你的家人在 TEMU 上购买了哪些产品，以此作为杠杆、影响、操纵、”跨境远程司法”、监视等的来源。

请记住，中国最近被发现在纽约市和密苏里州运营秘密警察局，在美国城市运营多达 7 个 “OCSC “服务中心，以及中国在其他国家的其他执法中心。( 链接) 中国执行和支持 “跨境远程司法 “的能力是美国政府合理的安全担忧，无论你站在哪一边。

鉴于中国不惜一切代价攫取美国应用程序安装量的目的，只能是将其持续寻求的美国消费者数据货币化，我们担心这些力量有可能在 2024 年大选季来临之际汇聚在一起。中国的国家安全机构在这场竞争中获益良多。

我们所依赖的那些保护我们安全的机构，需要对容易被 TEMU 的侵略性恶意软件/间谍软件外泄的可相互参照的私人个人数据进行调查。我们不能依靠中国的安全机构来遵守我们的规则。

恶意软件/间谍软件工程的猫鼠游戏

我们预计，在本报告公开发布后，TEMU 负责隐藏其最具入侵性功能的软件工程师将立即奉命 “解决 “所有这些问题。我们预计更新速度会很快。

但是，我们预计这次更新的主要重点，将不是清除其软件中的恶意软件/间谍软件功能，以及使其代码库对安全审计透明化！我们预计他们会加大力度，试图掩盖本报告能够检测和记录的所有恶意代码。

因此，最引人关注的问题并不是 TEMU 的应用程序是否被谷歌应用商店和/或苹果应用商店暂停。更有趣的问题是，如果被暂停，它是否会恢复，何时恢复，以及该应用程序的新功能究竟是什么。

这就引出了一个问题，即拼多多将如何处理他们现在窃取的每一条用户数据。该公司必须决定是选择透明和自愿遵守 App Store 指南的道路，还是选择美国政府传票的道路。谷歌和苹果这两家全球最大、最具影响力的公司将如何定位自己的经济利益和保护用户的信托角色。

用最通俗易懂的话来说，如果拼多多正在经营世界上最大的网上一元店，并且毫无疑问地完全相信这是一项伟大的事业，值得投资数十亿美元来维持亏损，同时发展用户群和建立平台，那么他们为什么要冒这一切风险呢？在他们好玩的购物应用程序中捆绑咄咄逼人、故意偷偷摸摸的秘密恶意软件？他们又没有其他几十家应用商店可以注册。

如果谷歌和苹果应用商店拒绝接受他们，那么他们与西方客户的主要接触点一夜之间就会被禁止和锁定，整个企业的商业模式也会随之消失。如果这不是为了出售你的数据，你又该如何解释呢？

TEMU 还以多种方式坑害客户和供应商

TEMU 旨在以巨额亏损为代价，向你出售某些东西……任何东西……因为它 “便宜”。问问自己 “为什么？

据报道，拼多多的 TEMU 在线市场是史上被下载最快的应用程序之一。诱饵是什么？

令人难以置信的低价。(94折！无线耳机 3.7 美元！眉笔 0.59 美元！）难道美国顾客不在乎他们买到的是残次品，或者根本不像广告上说的那样？与此同时，该公司每笔订单花费 30 美元（链接），让我们注册并向我们推销产品……但最重要的是，它想让你下载应用程序！我们已经解释了原因！关于这个话题以及 “免费送货”，请参阅 YouTube ( 链接 )，它幽默而又深刻。

TEMU 实施一种持续的、咄咄逼人的亲和力骗局

推荐您的朋友，免费获得商品！有什么比免费更好？将您的电子邮件或手机号码提供给 TEMU，您就会被积极地招募到亲和骗局中。

好奇的人不禁要问，一旦便宜货终于到手，买家的忠诚度或退货订单的指标又会如何显示呢？消费者对此类业务的兴趣会迅速上升和下降。哦，这家公司并没有披露这些数据。稍后再谈。

与此同时，一旦你向 TEMU 提供了个人信息，你就会被反复发送垃圾邮件、被催促、被唠叨、被收买，让你的亲朋好友也向 TEMU 提供他们的个人信息。当用户掉进这个兔子洞时（获得完全免费的任天堂交换机），TEMU 就会发送大量弹出窗口，榨取用户 “再联系一次”。

当然，目标也在不断变化。现在，成千上万的所谓 “影响者 “在 Reddit、YouTube、TikTok，还有 Minecraft、Roblox、Discord 和……兜售 TEMU 的推荐产品： “你什么都不用买，只要注册！”

“注册者会受到电子邮件和应用程序通知的狂轰滥炸（一连串的短信让一位心怀不满的消费者在 5 月份起诉了该公司，声称这等同于骚扰）”。- 电讯报 ( 链接 )

如果你有胆量，就加入这场傻瓜游行吧，加入这场病毒式的传销淘金热！现在唯一的问题是，可以 “推荐 “的人越来越少，人们开始厌倦被拉拢。TEMU 的招募就像一封连锁信，只是另一个不可持续的速成计划，并不能为可持续发展的企业带来真正的客户。一旦你自己的经历变成负面的，你就会后悔让你的朋友和家人参与进来。

这里有一个揭露整个骗局的有趣 YouTube 等着你： ( 链接 )

社交媒体有影响力的人被大量的现金酬劳诱惑。

如果你在社交媒体上有影响力，TEMU 就会发现这一点，并开始每天向你发送垃圾邮件，诱使你制作宣传 TEMU 的视频，并承诺为此支付报酬。

小心，这个承诺会变成 “免费东西 “的承诺。现在有多少想成为 “有影响力的人 “的人正在制作 “大量 “TikTok 视频，因为他们被骗入了这个虚假的亲和力计划？

关于这个话题的一个有趣的 YouTube 视频…… “注册你的孩子、你的丈夫、你的邻居、学校里的任何人（如果你上学的话）…… “自己得出结论吧。( 链接 )

TEMU 的 “评论 “很可能是伪造的，不可信。

TEMU 还向撰写评论的用户提供报酬。如果你现在看看 IOS 应用商店，每一条评论，无论是正面的还是负面的，都是一整屏的文字。这太奇怪了，根本就不是正常评论页面的样子。

我们都会主动查看这样或那样的评论。有些是一段话，有些是几个词或关键点，或者只是一句精辟的抱怨。不知从什么时候起，TEMU 开始赠送一些东西来刺激评论的长度。

请看下面这篇评论，一篇尖刻的负面评论，在对产品本身的评论中直指非法活动，指出评论的星级如何明显偏向正面，而且许多显示的评论明显是针对其他产品的。然而，这条评论却为 TEMU 赢得了 5 颗星！还得到了一个冗长而空洞的 “开发者回复”。

很明显，整个 TEMU “消费者评论 “的世界都是被操纵的。毫无疑问，TEMU 过分积极地招募 “影响者”、TikTok 和 YouTube 上的正面 “搬运 “视频与评论内容之间存在交叉。请注意！

显然，任何地方的每一条 TEMU 评论都是可疑的。这是我们查看当日 App Store 上显示的第一条评论。尽管它完全是 TEMU 的翻版，但为何能获得五星评价？YouTube 上有多少 “搬运 “视频、这些视频上的评论、App Store 上的评论、产品页面上的评论，都出自招募的 “影响者 “之手。

别担心，到明年，TEMU 就不用再承担这些 “影响者 “的费用了。人工智能将廉价生成所有这些评论！

这条评论，评论者在第一行就乞求 “推荐积分”。你觉得他的评论会 “客观 “吗？而且他的网站是在一家俄罗斯 “私人身份 “机构注册的，所以我们不建议您使用他们的 “服务”…

TEMU 网站和应用程序会不断弹出诱导信息，对您进行跟踪。

您的行为将被分类和存储在数据仓库里。如果这些诱导对你的大脑产生了上瘾的影响，人工智能模式识别将保证你看到更多的诱导。如果你在 TEMU 网站上，所有最持久的诱导都是为了让你安装 TEMU 应用程序。

TEMU 的广告旨在对您进行剖析和孤立。

TEMU 的广告旨在对人们进行特征分析和跟踪。请注意广告中的紧身连衣裙、AR-15 和狙击步枪吊坠手链饰品：

您以为这种并置是随意的吗？请再想一想。TEMU 正在对您进行分析和筛选，并将据此对您进行招揽。如果你点击了广告，你就是那个傻瓜。

TEMU 发货的产品往往与照片不符。

有时是尺寸问题，有时是塑料感问题，有时是化学气味问题（照片很难拍出气味）。

TEMU 的产品可能太小、太便宜，懒得退货

只有订单中的第一件商品可以免费退货。其他退货需要支付服务费，而且更加复杂。如果你被诱导订购了多件商品，你可能会选择便宜的商品。TEMU 赢了，你输了。

TEMU 指责客户订购了不合乎商业道德的商品

美国有一部名为《UCC 统一法典》的法律，根据该法典，”适销性和适用性 “的默示保证可广泛保护买家。TEMU 的总部设在波士顿。但在实践中，让公司遵守该法律似乎相当麻烦。( 链接 ).

TEMU 向供应商施压，迫使他们进行低价、无利润的交易……。

……迫使供应商使用童工和强迫劳动 ( 链接 )

……对供应商在极端的成本压力下使用危险化学品制造的材料视而不见 ( 链接 )

当 TEMU 的供应商盗用合法小企业的设计和营销照片时，TEMU 却睁一只眼闭一只眼。

这篇文章的出现仿佛是一个提示。似乎有一些中国制造商在亚马逊上寻找可以山寨的畅销产品。他们不仅抄袭产品，还直接从亚马逊页面上截取图片和文字，然后直接放到 TEMU 显示屏上。我们期待 TEMU 再次指责制造商（链接）。

此外，（链接）、（链接）（仅是互联网上众多链接中的两个）。版权持有者可以投诉，但厂商可以反对投诉。这一过程对厂商有利，而美国实体在中国的知识产权保护的总体记录却糟糕透顶。

TEMU 现在正与竞争对手 Shein 陷入纠纷，双方都指控对方窃取了有版权的设计。

TEMU 的回应是指责客户购买了设计被盗用的产品。

当这些行为被揭露出来时，它又以 “我们只是中间商 “为由进行辩护……。( 链接 )

如果您的信用卡安全在 TEMU 交易后遭到破坏，TEMU 将不承担任何责任 ( 链接 )

被盗商品名称的关键词搜索拍卖……一个巨大的造假者市场。

如果你生产劳力士仿冒品、蔻驰仿冒品或运动鞋，除非你购买搜索关键词，否则你认为你的产品有机会出现在有 61 页竞争对手的 TEMU 上吗？

知识产权/品牌名称问题刚刚升温。

TEMU 因推广山寨 Air Jordan 而被起诉，甚至在 Shein 从其网站上删除这些产品之后。如果这篇文章是正确的，中国制造商为 TEMU 在 1000 多个 “Air Jordan “SKU 上的关键词搜索付费，你认为其中有任何收入是与迈克尔·乔丹分享的吗？ ( 链接 )

潜在的政府干预，关闭邮资、关税和海关漏洞。

中国是世界第二大经济体，也是世界第二大军事强国，但在制定国际邮资标准的一个不知名的国际机构（万国邮联）中，中国被归类为 “发展中国家”。因此，中国可以以比国内邮寄包裹低 1.00 美元以上的价格，向美国邮寄美国邮政局必须投递到居民地址的小包裹。

根据这篇文章，这一运费率意味着供应无差异产品的美国公司无法与中国竞争 4 磅以下的包裹。链接

美中经济与安全审查委员会已经意识到，美国邮政总局和海关的法律给了中国公司相对于美国公司的巨大竞争优势。它建议将每个包裹 800 美元的关税、海关和进口繁文缛节的豁免漏洞减少到 10 美元（法律已经写好）。一旦该法案成为法律，TEMU 就会被烤焦。( 链接 ) ( 链接 )

上述任何一种政府干预方案一旦颁布，拼多多的股价都将一落千丈。我们认为，拼多多的股价将永远不会再创新高。对股东来说，这些都是巨大的风险，其发生的时间无法在图表上预测。

但干预将会发生。本案中的滥用行为太明显，规模也太大！如果 TEMU 有 1,000 名用户，这并不重要。但如果有 1 亿次应用下载，风险就太大了。

TEMU 的竞争格局变得更加复杂

TikTok 正作为直接竞争对手进入 TEMU 的领域

我们的分析清楚地表明，TEMU 比 TikTok 更危险。无需多言。

SHEIN 正作为直接竞争对手进入 TEMU 的领域

这个标题说明了很多问题。 ( 链接 ) SHEIN 是一家私人控股公司，实际上已在 “快时尚 “领域建立了颠覆性业务（已有 15 年历史）。虽然也有自己的争议，但并不想向任何人出售任何股票……卖的是服装。公司在盈利，这也许就是它被私人控股的原因。如果不盈利，它就不会有 15 年的起源和发展历史。而且，它已经在亚马逊商店拥有相当大的影响力，包括亚马逊最大的商店之一 Juvo Plus。

除了愿意花钱安装应用程序，TEMU 没有竞争护城河

TEMU 一直在蹩脚的二线报纸上发表免费的 “广告文章”，因为这些报纸已经请不起真正的记者了；TEMU 发明了一种名为 “下一代制造 “的令人难以置信、令人兴奋、不可替代的商业模式。我们不会在这里用链接来美化这些新闻界虚无的假新闻，但相信你会找到很多。

至少有 10 家公司已经在这一领域开展业务。他们都依赖于同样的海关/检查漏洞来处理 800 美元以下的包裹，并利用小包裹漏洞将包裹以比美国小企业运送包裹更便宜的价格送到你手中。他们都卖给你廉价的中国 “东西”。

唯一不同的是，这些公司和其他企业一样，都是靠销售他们认为人们需要的东西、廉价购买存货、靠差价生存。他们不是要窃取你的数据，也不是要把股票卖给你，而是把自己的财务状况藏在黑匣子里。

TEMU 对拼多多的意义

拼多多推出 TEMU 是为了积极拓展经合组织市场。TEMU 最近在美国（2022 年 9 月）、加拿大（2023 年 2 月）、澳大利亚和新西兰（2023 年 3 月）、法国、意大利、德国、荷兰、西班牙和英国（均于 2023 年 4 月）上线。

据报道，TEMU 2023 年的营销预算高达 70 多亿美元，包括超级碗广告、大型网络广告活动和赞助项目；相比之下，沃尔玛 2022 年的营销预算为 39 亿美元。

我们认为，该公司这样做是为了收集西方人的数据进行转售。我们的简短案例并不依赖于这些市场的收入损失，而是无法收集西方人的个人、机密和侵犯性用户数据的战略潜力。本案更多涉及的是欺诈（特别是间谍软件成果的货币化），而不是错失一个小的商业机会。

拼多多 Holdings（以下简称 “拼多多”）在季度文件中没有列出国际销售额。在 2022 年第四季度的财报电话会议上，管理层表示国际销售额 “很小”，国际业务仍处于早期阶段。

魔鬼的代言人： 拼多多对 TEMU 的投资回报率预期如何？基于增长前景和 “TEMU 的可选性”，摩根大通对拼多多的估值为市盈率 28 倍，”处于中国主要互联网公司历史区间的高端”。

高盛更看重 TEMU，对其成功推出表示赞赏（可能是由拼多多赞助的），并预测从 2027 年起将为拼多多带来重大盈利贡献。

因此，仅靠长期禁止 TEMU，拼多多就会失去两位数的长期盈利潜力。这就是为什么 TEMU 值得在高盛的牛市案例中提及：

关于这个话题的其他在线讨论已经占据了信息空间。

2023 年 3 月，Seeking Alpha 的一篇文章得出结论：”TEMU 是 2023 年拼多多股票的第一驱动力。投资者可以密切关注 TEMU 的发展，尤其是以下几个方面：

1) GMV 和月活跃用户的增长

2) 围绕产品质量和运输服务的购物情绪

3）有助于 TEMU 供应链或流量获取的海外战略合作伙伴关系”。

请注意，与许多分析一样，这一分析忽略了以下因素

重大政治、法律和监管风险的后果

TEMU 现在通过 J&T Express 支付的包裹运输临时补贴价格（现在为每个包裹 9 或 10 美元）的不可持续性，一旦 J&T 的首次公开募股（现已提交）完成或失败，预计 J&T Express 将大幅提高对 TEMU 的价格。( 链接 )

第 2 部分：拼多多是一家濒临倒闭的企业，其财务数据不可信，其经营是为了内部人的利益

拼多多是一个会计 “黑匣子”

这家公司的披露模式是随着时间的推移，披露的运营指标越来越少。就连卖方分析师也屈服了，称拼多多为 “黑盒子”。

拼多多的主要指标正在快速连续下降。其缺乏信息披露的情况非常糟糕，甚至连卖方分析师也指出了这一点（链接）。

报告显示，尽管投入了大量广告费用，但拼多多最重要的指标之一，DAU（日活跃用户数），在 3 月份比 2 月份连续下降了 9%，而且自 2022 年 2 月以来，淘宝网的 DAU 超过了拼多多。到 2023 年 6 月，DAU 下降速度加快，同比降幅超过 20%。拼多多已停止披露其 DAU 指标。

在那之前，拼多多已经明确表示，DAU（日均用户数量）是比 GMV（商品交易总额）更重要的指标。

我们认为，拼多多过去几年的财报不正常。京东和阿里巴巴在增长和盈利能力方面都表现疲软，而拼多多却在增长和盈利能力方面表现强劲。拼多多管理层给出的理由并不令人信服。就连卖方分析师也说公司管理层披露的信息不够充分……

“我们仍然认为信息披露不足是投资者关注的主要问题，并鼓励管理层披露更多信息。 Retain EW.”。

与此同时，拼多多一直在取消运营指标的披露，这增加了投资者和分析师分析其盈利结果的难度。例如，在 2021 年第一季度至 2021 年第三季度期间，拼多多停止披露其 12 个月的 GMV 和每个活跃买家在 12 个月期间的年度支出，然后在 2021 年第四季度再次披露这两个数字，并从 2022 年第一季度开始停止披露这两个数字。

此外，从 2022 年第二季度开始，拼多多也停止披露月均活跃用户数和十二个月活跃买家数。换句话说，拼多多在财报中披露的指标越来越少，对投资者披露的指标也越来越模糊。

2018 年以来，拼多多没有财务总监，财务副总裁一直是个旋转门

此外，很难想象，作为一家截至发稿日市值 1350 亿美元的公司，拼多多自 2018 年上市以来从未有过首席财务官（CFO）！在我们看来，这是极不寻常的。该公司似乎会说其财务副总裁负责公司的会计和财务。

然而，如果详细了解其财务副总裁的职位，我们就会有所怀疑。

自 2018 年以来，至少有 3 人受聘担任财务副总裁，此外，该公司甚至有一年多没有财务副总裁（更不用说首席财务官了）！对于一家从 2018 年上市之日起就如此缺乏财务监督的公司，任何谨慎的投资者怎么可能相信它的财务数据？这是一家小盘场外交易公司才会有的治理。

审计师一文不值。前任会计师负有发现欺诈行为的监督责任，但却无所作为。

前会计师审计了无数中国公司，但事实证明这些公司的股票一文不值。

自拼多多于 2018 年上市以来，安永华明会计师事务所一直是其审计师。根据 PCAOB 的资料，安永华明的参与合伙人刘伟（音）负责拼多多 2021 和 2022 财年的审计工作，但在此之前，另一名参与合伙人宋从跃（音）负责 2018 至 2020 财年的审计工作。

通过搜索刘伟的审计历史可以发现，刘伟只在 2019 年和 2020 年审计了另一家中国公司兰亭集势（ LightinTheBox 纽约证券交易所股票代码：LITB）。宋从跃在 2016 年至 2018 年负责世纪互联（21Vianet 集团公司纳斯达克股票代码：VNET），2018 年至 2019 年负责摩贝（Molecular Data 公司场外交易代码：MKDTY），2019 年至 2022 年负责百世集团（BEST 公司纽约证券交易所股票代码EST）。

不用说，这些审计师对这些公司的股东都没有任何帮助。

拼多多员工人数不可信：少计员工人数会夸大财务报告中的盈利能力。

拼多多在自己的官方网站上修改员工人数，这应该会让投资者质疑其年度报告中的员工人数，从而质疑其报告的员工相关支出和公司的整体盈利能力。

这又是一个 “掩耳盗铃 “式会计的例子。

下表汇总了拼多多的年度员工人数。

该公司在上市前似乎大大低报了员工人数。例如，该公司在招股说明书和年度报告中称，截至 2017 年 12 月 31 日，其员工总数为 1159 人。但 Wayback Machine 显示，截至 2017 年 12 月 17 日和 2018 年 1 月 17 日，网站截图上称，集团旗下员工超过 5000 人，是拼多多在招股书和年报中披露的 4 倍多。

值得注意的是，根据 Wayback 机器显示，在 2018 年 7 月，拼多多在其网站的后期版本中将员工人数修改为 2000 人。不过，我们还是倾向于认为5000名员工的数字更有可能，而不是拼多多后来修改的2000人。

涉及 “刷单”，加上通过其平台的 70 亿人民币赌博流量，订单流数据不可信

有三起事件表明，拼多多平台可能存在大量刷单行为。

1）根据我们与刷单 “专家 “的对话，当人们在拼多多平台上开设新店时，店主可以授予刷单 “专家 “权限。店主需要根据条款向刷单专家支付费用。

需要明确的是，拼多多不可能负责刷单。但是，拼多多和其他电子商务平台肯定知道存在刷单行为。它对此视而不见，听之任之。

2）投资论坛上也有评论称，拼多多平台上的一位自称卖家观察到，在清晨和傍晚，拼多多的后端会出现大量订单，然后这些订单会被取消。

即使这些订单被取消，拼多多仍会收取这些支付交易的 0.6%。目前尚不清楚此类活动的规模，但这表明大量重复的 “异常交易 “是拼多多文化的一部分。

3）根据这篇文章（链接），中国中央电视台在 2020 年 8 月报道了有一个电子商务平台被跨境洗钱组织用来清洗 70 亿人民币。文章称，读者可能以前听说过 “刷单”，但将假订单与真洗钱联系起来，显然才是这些刷单事件出现的真正原因。

“据英国《金融时报》报道，在中国东部城市无锡发生的一起特大案件中，调查人员发现有 6 亿个假包裹被员工输入发货人的跟踪系统，以完成交易。- Pymnts.com ( 链接 )

文章称，两名犯罪分子控制着数千个 “空包 “网站，这些物流订单（空包）约有 6 亿个。后来发现，这些空包实际上被用作跨境赌博的交易支付。2020 年 6 月初，无锡警方在 15 个城市抓获 40 名涉案人员。无锡警方比对了这些空包订单号，其中不少订单出现在两起跨境赌博洗钱案中，涉案资金总额达 70 亿元人民币。( 链接 )

重要运营指标显示拼多多在中国正面临与阿里巴巴和京东的激烈竞争，拼多多似乎正在失去与同行相比的用户吸引力。

正如许多媒体之前报道的那样（链接），蚂蚁金服于 2020 年 11 月被中国监管机构取消了 IPO。这被广泛认为是中国政府打击阿里巴巴的开始。我们认为，拼多多是过去几年监管部门打击阿里巴巴的主要受益者之一。

我们之所以这么认为，有两个原因。首先，根据这篇文章（链接），文中引用的 QuestMobile 数据显示，2021 年 2 月 12 日和 13 日，拼多多移动应用的 DAU（日活跃用户）首次超过阿里巴巴移动应用淘宝：拼多多的 DAU 为 2.59 亿，而淘宝的 DAU 为 2.37 亿。这距离蚂蚁金服集团 IPO 被取消仅过去了两个多月。

此外，我们认为拼多多的盈利能力也表明它从阿里巴巴的打压中获益。

下表显示，在 2021 年第二季度之前，拼多多自 2019 年第一季度以来的非美国通用会计准则（Non-GAAP）营业利润率为负值。我们可以看到，在阿里巴巴打压之后的2个季度，拼多多出行的运营利润率一直保持正值，至少超过13%。

当然，我们并不是说这可能是拼多多报告这些营业利润率的唯一原因，但当行业中的头号玩家受到监管限制时，受限较少的其他玩家会因竞争减少而受益，这也是常理。

然而，我们认为，拼多多在中国国内市场的幸福时光即将结束。2023 年 7 月，据报道（链接），中国政府对蚂蚁金服集团罚款 71 亿元人民币，并要求蚂蚁金服集团关闭众筹平台 “相互宝”。

看来，多年来监管层对阿里巴巴的打压已经告一段落。据了解，罚单的公布更像是一个信号，但我们认为监管的放松比这更早开始。这一政策变化的部分原因还在于，在中国结束动态清零政策后，原本被寄予厚望的经济反弹令人失望。中国政府正试图通过放松对私营部门的监管，鼓励私营部门帮助重振经济活动。

2023 年，阿里巴巴似乎一直在为淘宝投入大量资源，以重新吸引用户和商家。第三方数据显示，阿里巴巴的策略正在奏效。

月狐（Moonfox）（链接）在自己的网站上自称是 “中国领先的全场景数据洞察和分析服务专家”。它发布了 2023 年第二季度中国移动互联网行业研究报告（链接）。报告显示，2023 年第二季度，淘宝的季度平均 DAU（日活跃用户数）为 3.91 亿，拼多多的季度平均 DAU（日活跃用户数）为 2.38 亿。

需要提醒的是，据此前提到的文章（链接），2023 年 3 月，淘宝每天的用户数量约为 3.8 亿，仅比拼多多的 DAU 多出 2600 万。文章没有说明这些第三方数据是来自月狐还是其他分析公司。

不过，如果我们假设数据具有一定的可比性，那么拼多多的季度平均 DAU 在 2023 年第二季度出现了大幅下降。因为在文章中，拼多多在 3 月份的预计 DAU 应该约为 3.54 亿（=3.8 亿-2600 万），但在 2023 年第二季度，季度平均 DAU 只有 2.38 亿。从 2023 年第一季度到 2023 年第二季度，DAU 似乎下降了 1 亿多。

正如我们刚才提到的，不同的分析公司在计算 DAU 时的数字可能略有不同，但我们不认为超过 1 亿的差异可以归因于此。趋势很明显：拼多多在下滑，而淘宝在增长。

拼多多 DAU 的下降也得到了其他一些消息来源的证实。例如，雪球（一个广受欢迎的投资者论坛）上的一个账户发布了高盛 2023 年 7 月 19 日研究报告的部分截图，其中显示拼多多快的 2023 年 6 月的 DAU “在其应用程序版本更新后继续以同比-21%的速度下降”。

此外，这篇文章（链接）还显示，自 2023 年 2 月以来，淘宝和京东的 DAU 都实现了同比正增长。而拼多多的 DAU 增长率自 2023 年 2 月以来持续下降，6 月份的同比增长率降幅超过 20%。

除了阿里巴巴，京东也在投入巨资与拼多多竞争。例如，2023 年 2 月（链接）有报道称，京东将投入 100 亿人民币补贴，以执行其 “回归低价 “战略。目前尚不清楚京东在这一计划中到底花了多少钱；不过，根据上图所示的 DAU 数据，京东的 DAU 自 2 月份以来的同比增长率为正，而拼多多自 2 月份以来的同比增长率为负。

在商品方面，根据第三方机构月狐的研究，随着淘宝深入推行低价策略，吸引了更多小商品进入其平台，这导致淘宝的活跃商品数大幅增长，而拼多多的活跃商品数则有所下降。确切地说，2023 年 6 月，淘宝的商品门户应用千牛的 DAU 达到 217.8 万，同比增长 4.5%。然而，拼多多商品版的 DAU 为 160.1 万，同比下降 7.8%。

我们认为，随着阿里巴巴和京东重新专注于低价领域，拼多多的国内业务及其盈利能力很可能会受到挤压。在中国消费市场，我们认为消费者并不倾向于坚持使用一个平台，而是会迅速转向哪个平台能提供最好的交易。

阿里巴巴拥有巨大的资源，可以在拼多多的后院与拼多多展开竞争。现在，随着打击行动的正式结束，阿里巴巴拥有了更大的灵活性，可以采取一切必要的措施在这一领域展开竞争。

作为一个电子商务平台，京东拥有中国最好的物流服务之一，它可以利用低廉的价格和快速的配送服务来与拼多多竞争。换句话说，在不久的将来，低价策略的竞争将异常激烈。我们不认为拼多多会在国内赢得这场战役。相反，我们认为，拼多多正在努力维持其目前在国内市场的地位，这可能是其推出 TEMU 的主要原因之一：向投资者讲述一个全球扩张/增长的故事。

拼多多建立的支付公司被分割成一个独立的私有业务，由管理层为自己经营。

这种 “藏猫猫 “游戏使得 TEMU 产生的大量现金流被抽走，而 TEMU 的高管几乎没有任何监督或财务责任。这是支付宝的翻版！

我们认为，拼多多与其高管组建的上海付费通信息服务有限公司非常可疑。该公司在其风险因素中声明：

“我们并不控制上海付费通，其大部分股权由我们的高管间接控制。如果我们与上海付费通之间发生任何冲突，且不能以有利于我们的方式解决，我们的业务、财务状况、经营业绩和前景可能会受到重大不利影响”。

上海付费通的成立是为了 “补充”（如 “取代”）腾讯为拼多多提供的支付服务。我们认为，拼多多的最终目标是利用上海付费通尽可能多地控制和兑现腾讯目前提供的支付交易。

2020 年 4 月，VIE 的子公司上海寻梦信息技术有限公司与上海付费通信息服务有限公司（简称 “上海付费通”）签订业务合作协议，双方同意在支付服务、技术资源及其他相关专业领域开展全面业务合作。由于上海付费通是拼多多的执行官陈磊先生和郑振伟先生间接持有 50.01%股权的公司，因此该交易构成我们的关联方交易。

由于我们无法控制的上海付费通也不时向其他方提供支付服务，我们无法保证上海付费通与其他方的交易或其寻求的机会和发展不会与我们的利益发生冲突。如果我们与上海付费通之间出现任何冲突，我们无法保证陈磊先生和郑振伟先生在控制上海付费通的情况下会采取有利于我们利益的行动。如果冲突不能以有利于我们的方式解决，我们的业务、财务状况、经营业绩和前景可能会受到重大不利影响。

此外，由于我们与上海付费通的合作，任何对上海付费通产生负面影响的事件也可能对我们的客户、商户、监管机构和其他第三方对我们的看法产生负面影响，并可能进一步对我们的声誉、业务、经营业绩和前景产生不利和重大影响。

资料来源：2022 20F，拼多多 Holdings, Inc.

围绕上海付费通有两个问题。其一，拼多多的美国股东可能会再次遭遇 “支付宝事件”。支付宝事件 “涉及阿里巴巴成立一家名为支付宝的支付公司，以促进电子商务平台的交易。但是，支付宝在成立之初就有自己的所有权结构，阿里巴巴并不拥有支付宝，而是阿里巴巴的高管从一开始就拥有支付宝。

最终，当阿里巴巴上市时，支付宝并没有被列为上市公司所有。(链接）最终，股东们发现支付宝价值数千亿美元，但他们却无法作为阿里巴巴的股东享受这部分业务的成果。

如果你关注中国公司的投资，这听起来很熟悉！如果将来上海付费通的业务有了长足发展，拼多多的股东也无法像拼多多的股东一样享受到这部分业务发展的成果。上海付费通的最大受益者将是拼多多的高管！这对美国股东来说应该是个大问题。

围绕上海付费通的第二个问题是，这些数字根本说不通。

例如，在关联方交易部分，拼多多列出了从腾讯集团和上海付费通获得的服务。这些服务应该是支付服务，正如拼多多所披露的，腾讯将从拼多多平台的支付处理中收取 0.6% 的佣金。上海付费通于 2020 年成立，因此它开始从向拼多多提供的服务中收取收入。我们可以看到，2020 年从腾讯集团和上海付费通获得的服务总额分别为 106 亿元（腾讯集团 105 亿元，付费通集团 4500 万元），2021 年为 86 亿元（腾讯集团 84 亿元，付费通集团 2.11 亿元），2022 年为 77 亿元（腾讯集团 71 亿元，付费通集团 6.54 亿元）。这意味着，从 2021 年到 2022 年，拼多多从腾讯和上海付费通获得的交易处理服务总和下降了 10.6%。

这在我们看来并不合理。在拼多多提供的收入分项中，其交易服务收入实际上从 2021 年的 141 亿元（占总收入的 15.1%）增加到 2022 年的 276 亿元（占总收入的 21.2%），同比增长近 95.4%，增幅惊人。除了这两种支付方式（微信支付由腾讯提供支持，多多支付由付费通集团提供支持）外，拼多多的小程序上还有其他一些支付渠道，如下图所示，包括支付宝、Apple Pay、花呗（蚂蚁金服支持的支付渠道）、微信支付。

拼多多的交易服务收入年增长率高达 95%，但从两家主要支付处理公司获得的交易处理服务却下降了 10.6%，这怎么可能？这在我们看来是说不通的。

此外，据报道（链接），在 2020 年，付费通 26.8% 的股权易手，但买方是谁却没有披露。这笔交易的交易金额为 2.3655 亿元人民币，于 2020 年 11 月 16 日完成。我们认为这笔交易可疑，因为在这笔交易过去两年多之后，上海付费通的股东信息仍未发生变化。

“其中，银联商务股份有限公司转让其拥有的上海付费通2.22%的股权，上海水务建设工程有限公司转让其拥有的上海付费通0.737%的股权，上海市信息投资股份有限公司转让其拥有的上海付费通23.86%的股权。

变更完成后，银联商务股份有限公司、上海水务建设工程有限公司、上海市信息投资股份有限公司三家付费通原股东将退出。按照最终成交的交易价格，银联商务持有的2.22%股权目前价值为1958.2万元，溢价幅度高达625%。银联商务在上市之前，将持有的付费通股份成功套现。”

以下截图来自 Qichacha，从截图中可以看出，在此次股权转让交易结束两年多后，股东信息似乎仍未发生变化。

例如，从上面显示的信息来看，上海信息投资有限公司仍持有上海付费通 41.866% 的股份，中国银联商户服务有限公司仍持有上海付费通 2.2195% 的股份，上海水务建设工程有限公司仍持有上海付费通 0.7371% 的股份。我们的问题是，如果股权转让交易已于 2020 年完成，为什么新股东的信息仍未更新？这笔交易到底有没有发生？如果交易真的发生了，那么谁才是这次交易的真正买家？

大量股票似乎下落不明 – 价值数十亿美元的股票 “失踪” – 有些据称捐给了慈善机构，有些则给了风险投资人

这一点来源于中国一家媒体的报道，该报道问及在拼多多前任董事长黄峥大幅减持拼多多股份后，这笔钱的去向。

以下 2019 年 20F 披露，他控制着拼多多 20.7 亿股 B 类股，占总流通股的 43.3%。

而在 2020 年的 20F 中，黄仅持有 14.09 亿股 A 类股（所有 B 类股均转换为 A 类股），占总流通股的 28.1%。

据报道（链接），持股减少的主要原因是黄向不同的慈善机构捐赠了许多股份。然而，下面这篇文章对这些捐赠提出了质疑，因为他们无法找到任何有关这些慈善基金的中英文信息。

此外，文章还报道称，有 1.804 亿股（占总流通股的 3.77%）拼多多股票此前由黄持有，但实际上已分配给拼多多的一位风险投资人。据媒体猜测，这些股份属于著名投资人段永平，他曾花数百万美元与巴菲特共进午餐。

Pure Treasure Limited 拥有的另外180,382,480股（占公司总股份3.77%）据说属于拼多多的一位早期天使投资人，此次也划转至该天使投资人名下，不再由黄峥控制。媒体推测，该天使投资人很可能就是黄峥的导师、身在美国的段永平。

……

三、”消失 “的慈善基金股票

很有意思的是，黄峥将个人名下股份捐赠了3.71亿股给拼多多团队，捐赠了1.13亿股给繁星慈善基金会，前者在提交给SEC的文件中有明确披露，但后者却没有在上市披露文件中提及，仅仅停留在拼多多的对外宣传和黄峥的公开信中，英文文件中也查不到关于繁星基金会的任何信息。

由于美股上市公司仅披露高管1%以上持股情况，其他股东则仅披露5%以上股东的持股情况，因此，黄峥捐给慈善基金的1.13亿股股票就奇妙的隐藏（消失）了。

“消失 “的慈善基金股票

由于美国上市公司只披露管理层持有[公司]1%或以上股份的信息，而其他股东只披露持有[公司]5%或以上股份的股东的持股信息，因此黄铮捐赠给慈善基金会的 1.13 亿股[拼多多]股份就这样离奇消失了。

从所有这些信息来源得出的结论是，黄在拼多多公司的正确持股数额并未披露。按拼多多目前的价格计算，该持股价值约为 120 亿美元。投资者不知道黄是否真的拥有这些拼多多股份，或者他只是另一方或实体（无论是拼多多还是未公开的个人或实体）的代理人。我们无从知晓控制这些股份的人是否在等待时机，将这些股份抛售到市场上。或将其抵押贷款……

结论：拼多多股票的警讯风险

经过数年的多次迭代，甚至在今年 3 月被谷歌 Play Store 踢出局后，TEMU 仍在努力进行软件开发，以追求最大程度的侵入性、滥用性和隐蔽性。该公司对美国和欧洲的态度是 “只要我们能逃脱……”。

除了恶意软件/间谍软件之外，我们很少看到一家公司在政策、执行和管理、客户和供应商关系等各个层面表现出如此一贯的有罪不罚态度。

鉴于所有这些恶意行为，我们很难相信市场已赋予拼多多大约 1350 亿美元的市值。令人啼笑皆非的是，它是如何进入美国资本市场为其活动提供资金的？

这是一座纸牌屋。灾难性的监管干预风险四伏。然而，该公司却好像完全不负责任。

在我们看来，拼多多最近的冒险是无奈之举，因为他们在中国的业务正在迅速下滑，伪造数字的重担继续压在该公司身上。

Enter your email Address

会员首页

会员首页