Kompanija Lookout podijelila je tehničke informacije o alatu Massistant, mobilnoj forenzičkoj aplikaciji koju kineska policija koristi za prikupljanje podataka sa mobilnih uređaja.
Vjeruje se da je ova aplikacija nasljednik alata MFSocket, koji je analiziran 2019. godine i koji je korišćen u iste svrhe od strane policije u toj zemlji.
Obe aplikacije zahtijevaju fizički pristup uređaju kako bi bile instalirane i razvijene su od strane kineske firme specijalizovane za nadzor — Xiamen Meiya Pico Information — koju je američka vlada sankcionisala u decembru 2021. godine.
Između 2019. i 2023. godine, nakon što je MFSocket identifikovan i analiziran, kompanija Lookout prikupila je više uzoraka aplikacije Massistant potpisanih Android sertifikatima koji upućuju na Meiya Pico. Zajedno sa forumskim objavama u kojima se pominje ovaj novi alat, to sugeriše da Massistant predstavlja zamjenu za MFSocket.
Oba alata funkcionišu u tandemu sa forenzičkim softverom za desktop računare kako bi se podaci preuzimali sa mobilnih uređaja, i izgleda da uspostavljaju vezu preko port-forwarding servisa.
Ove forenzičke alate, kako navodi Lookout, koriste bezbjednosne službe kako bi prikupile osjetljive podatke sa uređaja zaplijenjenih od osoba od interesa, uključujući i rukovodioce i zaposlene koji putuju u inostranstvo.
„U nekim slučajevima, istraživači su otkrili trajne, ‘headless’ nadzorne module na uređajima koji su prethodno bili zaplijenjeni i kasnije vraćeni od strane bezbjednosnih službi, tako da je aktivnost mobilnog uređaja mogla nastaviti da bude nadgledana i nakon povratka uređaja“, navodi ova kompanija specijalizovana za mobilnu bezbjednost.
Nakon pokretanja, Massistant traži pristup telefonskim servisima, kontaktima, SMS porukama, slikama, audio fajlovima i GPS lokaciji. Nakon toga, nije potreban nikakav dalji korisnički unos — aplikacija prelazi u režim „pribavi podatke“.
Massistant i MFSocket koriste slične komande, imaju isti vizuelni identitet (ikonu) i dijele funkcionalnosti. Pored toga, njihov izvorni kod se u velikoj mjeri preklapa, a oba alata posjeduju mogućnost samouništenja (unistall) kada se uređaj diskonektuje sa USB-a — iako ta funkcija često ne uspije.
Prema navodima kompanije Lookout, Massistant ne izgleda da je u stanju da samostalno izvuče podatke bez prisustva desktop komponente, ali „samo njegovo postojanje na uređaju, kao i bilo kakvi logovi ili fajlovi, mogli bi ukazati korisniku da su podaci njegovog mobilnog uređaja kompromitovani nakon zaplijene“.
Novi alat za mobilnu forenziku takođe uključuje funkciju za automatsko zaobilaženje određenih uslova u bezbjednosnim softverima, mogućnost povezivanja putem Android Debug Bridge (ADB) preko Wi-Fi mreže kako bi preuzeo dodatne fajlove, kao i podršku za prikupljanje podataka iz aplikacija za razmjenu poruka — Letstalk, Signal i Telegram.
Kompanija Meiya Pico, koja je u decembru 2023. promijenila ime u SDIC Intelligence Xiamen Information, često je promovisala svoje prisustvo na nacionalnim i međunarodnim sajmovima posvećenim bezbjednosnim i policijskim tehnologijama, a navodno je prodavala forenzičke i nadzorne proizvode i ruskoj vojnoj obavještajnoj službi.
„Putovanja ka i unutar kopnene Kine nose rizik da turisti, poslovni putnici i osobe od interesa budu meta zakonitih presretanja od strane državne policije, što uključuje i pristup njihovim povjerljivim mobilnim podacima“, zaključuje Lookout.
Izvor: SecurityWeek
