Китайські влади застосовують новий інструмент для зламу конфіскованих телефонів і вилучення даних

Дослідники з безпеки вказують на те, що китайські правоохоронці використовують новий тип шкідливого програмного забезпечення для вилучення даних з конфіскованих телефонів, що дозволяє їм отримувати текстові повідомлення — у тому числі з чат-додатків таких як Signal — зображення, історію місцезнаходжень, аудіозаписи, контакти та іншу інформацію.

У звіті, який був наданий виключно TechCrunch, компанія з мобільної кібербезпеки Lookout детально описала інструмент хакінгу під назвою Massistant, який, за словами компанії, був розроблений китайським технологічним гігантом Xiamen Meiya Pico.

Massistant, за інформацією Lookout, є програмним забезпеченням для Android, яке використовується для криміналістичного вилучення даних з мобільних телефонів, що означає, що органи влади, які його використовують, повинні мати фізичний доступ до цих пристроїв. Хоча Lookout не знає точно, які китайські поліцейські агентства використовують цей інструмент, але його застосування, за оцінками, є досить поширеним. Це означає, що жителі Китаю, а також туристи, що відвідують країну, повинні бути обізнані про існування цього інструменту та ризики, які він несе.

«Це велика проблема. Я думаю, що будь-хто, хто подорожує в цьому регіоні, повинен знати, що пристрій, який вони приносять у країну, може бути конфісковано і все, що на ньому знаходиться, може бути зібрано», — сказала Крістіна Балам, дослідниця з Lookout, яка аналізувала це програмне забезпечення, перед виходом звіту. «Це те, про що слід знати кожному, хто подорожує в цьому регіоні».

Балам знайшла кілька постів на місцевих китайських форумах, де користувачі скаржилися на те, що на їхніх пристроях було виявлено це шкідливе ПЗ після взаємодії з поліцією.

«Схоже, що його використовують досить широко, особливо з того, що я бачила на цих китайських форумах», — зазначила Балам.

Шкідливе програмне забезпечення має бути встановлено на розблокованому пристрої та працює в парі з апаратним пристроєм, підключеним до настільного комп’ютера, згідно з описом та зображеннями системи на веб-сайті Xiamen Meiya Pico.

Балам зазначила, що Lookout не змогла проаналізувати настільний компонент, а також дослідники не знайшли версію шкідливого ПЗ, сумісну з Apple-пристроями. На ілюстрації на своєму веб-сайті Xiamen Meiya Pico показує iPhone, підключені до свого криміналістичного апаратного пристрою, що свідчить про можливу наявність iOS-версії Massistant, розробленої для вилучення даних з пристроїв Apple.

Поліції не потрібні складні технології для використання Massistant, наприклад, використання нульових днів — вразливостей у програмному забезпеченні або апаратних засобах, які ще не були розкриті постачальнику, оскільки «люди просто віддають свої телефони», згідно з тим, що вона прочитала на тих китайських форумах.

З 2024 року поліція державної безпеки Китаю має законні повноваження перевіряти телефони та комп’ютери без потреби у ордері або фактичній кримінальній справі.

«Якщо хтось проходить через КПП і їхній пристрій конфіскують, він має дозволити доступ до нього», — сказав Балам. «Я не думаю, що ми бачимо якісь реальні експлойти з інструментів законного перехоплення, оскільки їм це не потрібно».

Доброю новиною, за словами Балам, є те, що Massistant залишає сліди свого компрометації на конфіскованому пристрої, що означає, що користувачі можуть потенційно виявити та видалити це шкідливе ПЗ, оскільки хакерський інструмент може з’явитися як додаток або може бути виявлений та видалений за допомогою більш складних інструментів, таких як Android Debug Bridge, командний інструмент, що дозволяє користувачеві підключитися до пристрою через свій комп’ютер.

На жаль, погана новина полягає в тому, що на момент встановлення Massistant шкода вже нанесена, і влада вже має дані особи.

За даними Lookout, Massistant є наступником схожого криміналістичного інструмента, також розробленого Xiamen Meiya Pico, під назвою MSSocket, який дослідники з безпеки аналізували у 2019 році.

Підприємство Xiamen Meiya Pico, за повідомленням, має 40% частки на ринку цифрової криміналістики в Китаї і було піддане санкціям з боку уряду США у 2021 році за постачання своїх технологій китайському уряду.

Компанія не відповіла на запит TechCrunch прокоментувати цю ситуацію.

Балам зазначила, що Massistant є лише одним із багатьох шкідливих програм, створених китайськими виробниками технологій спостереження, у рамках так званої «великої екосистеми». Дослідниця зазначила, що компанія відстежує принаймні 15 різних сімей шкідливих програм у Китаї.