Исследователи в области безопасности утверждают, что китайские власти используют новый тип вредоносного ПО для извлечения данных из изъятых телефонов, что позволяет им получать текстовые сообщения, в том числе из приложений для чата, таких как Signal, изображения, историю местоположений, аудиозаписи, контакты и многое другое.
В отчете, предоставленном эксклюзивно TechCrunch, компания Lookout, занимающаяся мобильной кибербезопасностью, подробно описала хакерский инструмент под названием Massistant, который, по словам компании, был разработан китайским технологическим гигантом Xiamen Meiya Pico.
По данным Lookout, Massistant — это программное обеспечение для Android, используемое для криминалистического извлечения данных с мобильных телефонов, что означает, что власти, использующие его, должны иметь физический доступ к этим устройствам. Хотя Lookout не знает наверняка, какие китайские полицейские органы используют этот инструмент, предполагается, что его использование широко распространено, а это означает, что жители Китая, а также путешественники, посещающие эту страну, должны знать о существовании этого инструмента и рисках, которые он представляет.
«Это серьезная проблема. Я думаю, что любой, кто путешествует по этому региону, должен знать, что устройство, которое он ввозит в страну, может быть конфисковано, а все, что на нем находится, может быть собрано», — сказала TechCrunch перед публикацией отчета Кристина Балаам, исследователь Lookout, которая анализировала вредоносное ПО. «Я думаю, что это то, о чем должны знать все, кто путешествует по этому региону».
Балаам нашла несколько сообщений на местных китайских форумах, в которых люди жаловались на то, что после взаимодействия с полицией на их устройствах было обнаружено вредоносное ПО.
«Похоже, оно используется довольно широко, особенно судя по тому, что я видела в обсуждениях на этих китайских форумах», — сказала Балаам.
Согласно описанию и фотографиям системы на веб-сайте Xiamen Meiya Pico, вредоносное ПО должно быть установлено на разблокированное устройство и работает в тандеме с аппаратной башней, подключенной к настольному компьютеру.
Балаам сказал, что Lookout не смог проанализировать настольный компонент, а исследователи не смогли найти версию вредоносного ПО, совместимую с устройствами Apple. На иллюстрации на своем веб-сайте Xiamen Meiya Pico показывает iPhone, подключенные к своему криминалистическому аппаратному устройству, что позволяет предположить, что у компании может быть версия Massistant для iOS, предназначенная для извлечения данных с устройств Apple.
Полиции не нужны сложные методы для использования Massistant, такие как использование уязвимостей нулевого дня (zero-days) — недостатков в программном или аппаратном обеспечении, которые еще не были раскрыты поставщику, — поскольку «люди просто отдают свои телефоны», сказала Балаам, основываясь на том, что она прочитала на этих китайских форумах.
По крайней мере с 2024 года полиция государственной безопасности Китая имеет законные полномочия проводить обыск телефонов и компьютеров без ордера или наличия активного уголовного расследования.
«Если кто-то проходит пограничный контроль и его устройство конфискуют, он должен предоставить к нему доступ», — сказала Балаам. «Я не думаю, что мы видим какие-либо реальные уязвимости в области законных средств перехвата, просто потому что в них нет необходимости».
Хорошая новость, по словам Балаама, заключается в том, что Massistant оставляет следы своего проникновения на конфискованном устройстве, а это означает, что пользователи могут потенциально обнаружить и удалить вредоносное ПО, либо потому что хакерский инструмент отображается как приложение, либо потому что его можно найти и удалить с помощью более сложных инструментов, таких как Android Debug Bridge, инструмент командной строки, который позволяет пользователю подключаться к устройству через свой компьютер.
Плохая новость заключается в том, что на момент установки Massistant ущерб уже нанесен, и власти уже располагают данными человека.
По данным Lookout, Massistant является преемником аналогичного инструмента для мобильной криминалистики, также созданного Xiamen Meiya Pico, под названием MSSocket, который исследователи в области безопасности проанализировали в 2019 году.
Сообщается, что Xiamen Meiya Pico занимает 40% рынка цифровой криминалистики в Китае и в 2021 году была подвергнута санкциям со стороны правительства США за свою роль в поставках своей технологии китайскому правительству.
Компания не ответила на запрос TechCrunch о комментарии.
Балаам сказала, что Massistant — лишь одно из множества шпионских или вредоносных программ, созданных китайскими производителями технологий слежения, которые она назвала «большой экосистемой». Исследовательница сказала, что компания отслеживает по меньшей мере 15 различных семейств вредоносных программ в Китае.
Оригинал
Уникальность
