Исследователи кибербезопасности сообщают о новом инструменте, который используется китайскими властями для доступа к данным на мобильных устройствах. Вредоносное ПО под названием Massistant позволяет извлекать текстовые сообщения, в том числе из защищённых мессенджеров вроде Signal, изображения, историю перемещений, аудиозаписи, контакты и другие личные данные.
Новый инструмент цифровой разведки
Компания Lookout, специализирующаяся на мобильной кибербезопасности, опубликовала отчёт о вредоносной программе Massistant, разработанной китайским технологическим гигантом Xiamen Meiya Pico. ПО предназначено для экспертной (forensic) обработки данных с устройств под управлением Android и требует физического доступа к телефону. Исследователи предполагают, что инструмент активно используется различными структурами полиции Китая, хотя конкретные ведомства не названы.
По словам исследовательницы Кристины Балаам из Lookout, сведения о Massistant появились также на китайских форумах — пользователи жаловались на его обнаружение после контакта с полицией. Это может указывать на широкое распространение инструмента на территории Китая.
«Любой, кто путешествует по региону, должен понимать: устройство, которое он ввозит в страну, может быть изъято, а все данные — скопированы», — подчеркнула Балаам.
Принцип действия
Massistant устанавливается только на разблокированные телефоны и работает в связке с аппаратной установкой, подключённой к настольному компьютеру. На сайте Xiamen Meiya Pico опубликованы схемы и изображения устройства, в том числе с подключёнными iPhone, что может свидетельствовать о существовании версии для iOS, хотя исследователям не удалось её проанализировать.
Использование сложных хакерских техник не требуется — в большинстве случаев пользователи сами передают телефоны в руки полицейских, утверждает Балаам, ссылаясь на обсуждения в сети.
С 2024 года сотрудники государственной безопасности Китая получили право изымать и просматривать содержимое телефонов и компьютеров без судебного ордера и без необходимости возбуждения уголовного дела. Это позволяет властям действовать практически без ограничений, особенно в приграничных районах.
Но есть и хорошая новость: Massistant оставляет следы своего присутствия на устройстве. Иногда его можно обнаружить как обычное приложение. Также его можно удалить с помощью утилит вроде Android Debug Bridge (ADB) — инструмента командной строки для работы с Android-устройствами.
Однако, как отмечает Балаам, к моменту установки все данные уже успевают быть скопированы, так что удалить приложение — не значит вернуть конфиденциальность.
Massistant является преемником инструмента MSSocket, анализ которого проводился в 2019 году. Компания Xiamen Meiya Pico контролирует, по оценке экспертов, около 40% китайского рынка цифровой криминалистики и в 2021 году попала под санкции США за поставку технологий правительственным структурам Китая.
По словам Балаам, Massistant — лишь один из множества инструментов в масштабной экосистеме китайского программного обеспечения для наблюдения. Lookout отслеживает не менее 15 семейств вредоносного ПО, разработанных китайскими производителями.
