Исследователи в области кибербезопасности сообщили о том, что китайские власти начали использовать новое вредоносное программное обеспечение для извлечения данных из конфискованных мобильных телефонов. Этот инструмент позволяет получать текстовые сообщения, даже из защищенных приложений, таких как Signal, а также получать доступ к фотографиям, истории местоположений, аудиозаписям, контактам и другой важной информации.
Об этом сообщает ProIT
Massistant: новый инструмент цифровой экспертизы
Мобильная компания Lookout опубликовала подробный отчет о вредоносной программе Massistant, разработанной китайским технологическим гигантом Xiamen Meiya Pico. Massistant — это программное обеспечение для Android, которое используется правоохранительными органами для извлечения данных из мобильных устройств. Для работы этого инструмента необходим физический доступ к разблокированному устройству.
По данным Lookout, масштаб использования Massistant довольно широк, что создает риски как для граждан Китая, так и для иностранцев, путешествующих по стране. Поскольку полиция может получить доступ к устройству без согласия его владельца, любые данные, хранящиеся на телефоне, могут быть скопированы.
«Это серьезная проблема. Я считаю, что каждый, кто путешествует в этом регионе, должен осознавать, что устройство, которое они берут с собой, может быть конфисковано, и вся информация на нем — собрана», — отмечает исследователь Lookout Кристина Балаам.
На местных китайских форумах пользователи неоднократно жаловались на обнаружение Massistant на своих телефонах после контактов с полицией. По словам Балаам, судя по отзывам и сообщениям на форумах, использование этого инструмента является довольно распространенным явлением.
Технические особенности и правовые аспекты использования
Massistant устанавливается только на разблокированные устройства и работает в связке с аппаратной вышкой, подключенной к настольному компьютеру. На официальном сайте Xiamen Meiya Pico приведены описания и иллюстрации системы, которые подтверждают эти особенности. Исследователи Lookout не смогли проанализировать настольный компонент этой системы, а также не нашли версии вредоносного ПО для устройств Apple. В то же время на иллюстрациях компании изображены iPhone, подключенные к аппаратному устройству, что может свидетельствовать о наличии аналогичного решения для iOS.
Для использования Massistant полиции не нужно применять сложные хакерские методы или находить неизвестные уязвимости (zero-day). Балаам подчеркнула, что часто люди сами отдают свои устройства во время проверок.
С 2024 года государственная служба безопасности Китая имеет законные полномочия проверять телефоны и компьютеры без ордера или открытого уголовного дела. Если устройство конфисковано, владелец обязан предоставить к нему доступ.
Massistant оставляет следы своего влияния на устройства — его можно обнаружить как отдельное приложение или найти и удалить с помощью специализированных инструментов, например, Android Debug Bridge. Однако на момент установки вредоносного ПО данные пользователя уже могут быть скопированы правоохранительными органами.
Massistant стал преемником программы MSSocket, которую Xiamen Meiya Pico разработала ранее и которую анализировали эксперты в 2019 году. Xiamen Meiya Pico в настоящее время занимает около 40% рынка цифровой криминалистики в Китае и была подвергнута санкциям правительства США в 2021 году за поставку своих технологий государственным структурам КНР.
Балаам подчеркивает, что Massistant — лишь один из многих подобных инструментов, которые разрабатывают китайские компании. По ее словам, Lookout отслеживает как минимум 15 семейств вредоносного ПО, используемого в сфере наблюдения в Китае.