Дослідники у сфері кібербезпеки повідомили про використання китайськими органами влади нового шкідливого програмного забезпечення для вилучення даних із конфіскованих мобільних телефонів. Цей інструмент дозволяє отримувати текстові повідомлення, навіть із захищених застосунків на кшталт Signal, а також отримувати доступ до фотографій, історії місцезнаходжень, аудіозаписів, контактів та іншої важливої інформації.
Про це розповідає ProIT
Massistant: новий інструмент цифрової експертизи
Мобільна компанія Lookout оприлюднила детальний звіт про шкідливу програму Massistant, розроблену китайським технологічним гігантом Xiamen Meiya Pico. Massistant — це програмне забезпечення для Android, яке використовується правоохоронними органами для вилучення даних із мобільних пристроїв. Для роботи цього інструменту необхідний фізичний доступ до розблокованого пристрою.
За даними Lookout, масштаб використання Massistant є досить широким, що створює ризики як для громадян Китаю, так і для іноземців, які подорожують країною. Оскільки поліція може отримати доступ до пристрою без згоди його власника, будь-які дані, що зберігаються на телефоні, можуть бути скопійовані.
“Це серйозна проблема. Я вважаю, що кожен, хто подорожує цим регіоном, повинен усвідомлювати, що пристрій, який вони беруть із собою, може бути конфіскований, і вся інформація на ньому — зібрана”, — зазначає дослідниця Lookout Крістіна Балаам.
На місцевих китайських форумах користувачі неодноразово скаржилися на виявлення Massistant на своїх телефонах після контактів із поліцією. За словами Балаам, з огляду на відгуки та повідомлення на форумах, використання цього інструменту є досить поширеним явищем.
Технічні особливості та правові аспекти використання
Massistant встановлюється лише на розблоковані пристрої й працює у зв’язці з апаратною вежею, підключеною до настільного комп’ютера. На офіційному сайті Xiamen Meiya Pico наведені описи та ілюстрації системи, які підтверджують ці особливості. Дослідники Lookout не змогли проаналізувати настільний компонент цієї системи, а також не знайшли версії шкідливого ПЗ для пристроїв Apple. Водночас на ілюстраціях компанії зображені iPhone, підключені до апаратного пристрою, що може свідчити про наявність аналогічного рішення для iOS.
Для використання Massistant поліції не потрібно застосовувати складні хакерські методи чи знаходити невідомі вразливості (zero-day). Балаам підкреслила, що часто люди самі віддають свої пристрої під час перевірок.
З 2024 року державна служба безпеки Китаю має законні повноваження перевіряти телефони та комп’ютери без ордера чи відкритого кримінального провадження. Якщо пристрій конфісковано, власник зобов’язаний надати до нього доступ.
Massistant залишає сліди свого впливу на пристрої — його можна виявити як окремий застосунок або знайти й видалити за допомогою спеціалізованих інструментів, наприклад, Android Debug Bridge. Однак на момент встановлення шкідливого ПЗ дані користувача вже можуть бути скопійовані правоохоронними органами.
Massistant став наступником програми MSSocket, яку Xiamen Meiya Pico розробила раніше та яку аналізували експерти у 2019 році. Xiamen Meiya Pico наразі займає близько 40% ринку цифрової криміналістики у Китаї й була піддана санкціям уряду США у 2021 році через постачання своїх технологій державним структурам КНР.
Балаам наголошує, що Massistant — лише один із багатьох подібних інструментів, які розробляють китайські компанії. За її словами, Lookout відстежує щонайменше 15 сімейств шкідливого ПЗ, що використовуються у сфері нагляду в Китаї.