Специалисты по безопасности сообщают, что китайские власти используют новый тип вредоносного ПО для извлечения данных с изъятых телефонов, что позволяет им получать доступ к текстовым сообщениям (включая приложения вроде Signal), фотографиям, истории местоположений, аудиозаписям, контактам и другим данным.
В среду компания Lookout, занимающаяся мобильной кибербезопасностью, опубликовала отчёт (эксклюзивно предоставленный TechCrunch), в котором описала инструмент под названием Massistant. Как утверждается, он разработан китайским техногигантом Xiamen Meiya Pico.
Согласно данным Lookout, Massistant — это Android-софт для криминалистического извлечения данных с мобильных устройств, что подразумевает необходимость физического доступа к телефонам. Хотя точный перечень китайских полицейских ведомств, использующих этот инструмент, неизвестен, его применение считается массовым. Это означает, что о существовании Massistant и связанных с ним рисках следует знать как жителям Китая, так и путешественникам.
«Это серьёзная проблема. Любой, кто посещает регион, должен понимать, что его устройство могут конфисковать, а все данные — извлечь», — заявила TechCrunch перед публикацией отчёта Кристина Балам, исследователь Lookout, анализировавшая вредоносное ПО.
Балам обнаружила на китайских форумах сообщения пользователей, жалующихся на обнаружение Massistant на устройствах после контактов с полицией. «Судя по обсуждениям, инструмент применяется очень широко», — отметила она.
Вредоносное ПО, которое необходимо установить на разблокированное устройство, работает в связке с аппаратной «башней», подключаемой к компьютеру (это подтверждается описанием и изображениями на сайте Xiamen Meiya Pico). Балам пояснила, что Lookout не смогла проанализировать десктоп-компонент, а также не нашла версии Massistant для устройств Apple. Однако на иллюстрации компании показаны iPhone, подключённые к криминалистическому оборудованию, что указывает на возможное существование iOS-версии.
По словам Балам, для использования Massistant полиции не требуются сложные методы вроде эксплуатации уязвимостей нулевого дня (неизвестных разработчикам дефектов ПО или железа), так как «люди просто передают свои телефоны».
С 2024 года китайские органы госбезопасности имеют законное право проверять телефоны и компьютеры без ордера или наличия уголовного дела. «Если на контрольно-пропускном пункте устройство конфискуют, владелец обязан предоставить к нему доступ. Эксплойты здесь не нужны — всё происходит в правовом поле», — добавила Балам.
Хорошая новость, как отметила исследователь, в том, что Massistant оставляет следы на устройстве: пользователи могут обнаружить и удалить вредоносное ПО через меню приложений или инструменты вроде Android Debug Bridge. Плохая — данные уже попадают к властям в момент установки Massistant.
Согласно Lookout, Massistant стал преемником MSSocket — аналогичного инструмента от Xiamen Meiya Pico, анализ которого проводился в 2019 году. Компания, контролирующая около 40% рынка цифровой криминалистики в Китае, была включена США в санкционный список в 2021 году за сотрудничество с правительством КНР. В Xiamen Meiya Pico не ответили на запрос TechCrunch.
Балам подчеркнула, что Massistant — лишь один из множества образцов шпионского ПО, созданных китайскими разработчиками в рамках «крупной экосистемы». По её словам, Lookout отслеживает как минимум 15 семейств подобных вредоносных программ.