Дослідники в сфері безпеки повідомляють, що китайські органи влади використовують новий вид шкідливого програмного забезпечення для вилучення даних з конфіскованих телефонів, що дозволяє отримувати текстові повідомлення, включно з чатами з додатків на кшталт Signal, зображення, історії місцезнаходжень, аудіозаписи, контакти та інше.
У звіті, що був наданий виключно одним з технічних видань, компанія з мобільної кібербезпеки Lookout детально описала інструмент для злому під назвою Massistant, який, за інформацією компанії, був розроблений китайським техногігантом Xiamen Meiya Pico.
Massistant, як відмітила компанія Lookout, є програмним забезпеченням для Android, що використовується для судово-медичної експертизи даних з мобільних телефонів. Це означає, що органи влади, які ним користуються, повинні мати фізичний доступ до цих пристроїв. Хоча Lookout не може точно стверджувати, які саме китайські поліційні агентства використовують цей інструмент, його застосування вважається досить поширеним, тому жителі Китаю, а також туристи, що відвідують країну, повинні усвідомлювати існування цього засобу та ризики, пов’язані з ним.
“Це велика проблема. Я вважаю, що будь-хто, хто подорожує в цьому регіоні, повинен бути в курсі того, що пристрій, який вони привозять до країни, може бути конфісковано, а вся інформація на ньому може бути зібрана”, — заявила Крістіна Балам, дослідниця компанії Lookout, яка проаналізувала це шкідливе програмне забезпечення, перед публікацією звіту. “Я гадаю, це те, про що має знати кожен, хто подорожує в цьому регіоні.”
Балам знайшла кілька постів на місцевих китайських форумах, де користувачі скаржилися на те, що знайшли шкідливе програмне забезпечення, встановлене на їхніх пристроях після зустрічі з поліцією.
“Схоже, що цей інструмент використовується досить широко, особливо з того, що я бачила на цих китайських форумах,” — сказала Балам.
Шкідливе програмне забезпечення повинно бути встановлене на розблокованому пристрої і працює в тандемі з апаратними засобами, підключеними до настільного комп’ютера. Такі дані, а також зображення системи, представлені на сайті Xiamen Meiya Pico.
Балам зазначила, що Lookout не змогла проаналізувати десктопний компонент, також дослідники не знайшли версію шкідливого програмного забезпечення, сумісну з пристроями Apple. У ілюстрації на своєму сайті Xiamen Meiya Pico демонструє iPhone, підключений до свого апаратного пристрою для судово-медичної експертизи, що може свідчити про наявність iOS-версії Massistant, призначеної для вилучення даних з пристроїв Apple.
Поліція не потребує складних методів для використання Massistant, таких як використання експлойтів нульового дня — вразливостей у програмному або апаратному забезпеченні, які ще не були розкриті постачальнику, оскільки “люди просто здають свої телефони”, зазначила Балам, спираючись на прочитане на цих китайських форумах.
З принаймні 2024 року китайська поліція безпеки має законні повноваження для перевірки телефонів і комп’ютерів без необхідності отримання ордера чи без активного кримінального розслідування.
“Якщо хтось проходить через прикордонний контроль і їхній пристрій конфісковано, вони повинні надати доступ до нього,” — зазначила Балам. “Не думаю, що ми спостерігаємо серйозні витоки від інструментів правомірного перехвату, оскільки їм це не потрібно.”
З позитивних моментів, за словами Балам, Massistant залишає сліди свого втручання на конфіскованому пристрої, що дає змогу користувачам потенційно виявити і видалити це шкідливе програмне забезпечення, оскільки інструмент злому може з’являтися як додаток або бути знайденим і видаленим за допомогою більш складних інструментів, таких як Android Debug Bridge — командний рядок, який дозволяє користувачу підключатися до пристрою через комп’ютер.
Недобра новина полягає у тому, що на момент встановлення Massistant шкода вже завдана, і влада вже має дані особи.
Згідно з даними Lookout, Massistant є наступником аналогічного мобільного інструменту для судово-медичної експертизи, також створеного Xiamen Meiya Pico, під назвою MSSocket, який був проаналізований дослідниками в 2019 році.
Повідомляється, що Xiamen Meiya Pico має 40% ринку цифрової судово-медичної експертизи в Китаї, і у 2021 році була піддана санкціям з боку уряду США за свою роль у постачанні технологій китайському урядові.
Компанія не відповіла на запит про коментарі.
Балам зазначила, що Massistant є лише частиною великої кількості шпигунських або шкідливих програм, розроблених китайськими виробниками технологій спостереження, у чому вона назвала “великою екосистемою”. Дослідниця підтвердила, що компанія відстежує принаймні 15 різних сімей шкідливого програмного забезпечення в Китаї.
