MFSocket - большой китайский глаз бога

Всем хорошо известно, что Китайские власти шпионят за своими согражданами. В этой статье я поведаю вам историю Android-приложения под названием MFSocket, нового инструмента для слежки, разработанного в Китае. Он позволяет полиции извлекать из телефона жертвы множество данных, таких как события календаря, SMS, MMS, видео, контакты, информацию из Telegram, и многое другое.

История

21 июня 2019 года китайский журналист Муи Сяо разместила в Твиттере пост о приложении для Android под названием MFSocket. В китайских социальных сетях люди начали сообщать о том, что полиция массово проверяет телефоны в Пекине и Шанхае, и она решила провести собственное расследование.

Действительно, выполнив поиск «MFSocket» в Google, я нашел такие кейсы:

• «Когда полиция впервые проверит ваш телефон, на него будет установлен Mfsocket»
• «Вчера компания, в которой я работаю, попросила меня зайти в полицейский участок, в котором мне установили ПО под названием MFsocket.

В своем посту Муи упомянула компанию, стоящую за MFSocket. Она нашла руководство по устранению неполадок, в котором упоминается Meiya Pico.

Meiya Pico уже не первый раз потакает китайским властям. Reuters и Wall Street Journal в своих разоблачениях называли их китайской фирмой, которая продает инструменты для форензики китайским властям.

Для управления приложением, полиция, похоже, использует Windows. Интересно, эта информация нам пригодится чуть позже.

Муи проделала фантастическую журналистскую работу, теперь мне пора преумножить ее пользу. Могу ли я технически подтвердить то, что она нашла? Какие возможности у MFSocket?

Технический анализ

Обзор

Первой задачей было найти само приложение. Я искал «MFSocket» на Koodous и получил 48 различных сэмплов.

После создания приложения на Android разработчик должен подписать его собственным сертификатом. Вы можете воспринимать его как удостоверение личности компании. В данном случае для подписи MFSocket использовалось 3 разных сертификата, что необычно.

Эй, посмотри-ка на это! В 2 из 3 сертификатов мы можем найти название компании Meiya Pico. Муйи была права, можно с большой долей вероятности сказать, что за MFSocket стоит Meiya Pico. Пришло время повеселиться и посмотреть, из чего сделано это приложение!

AndroidManifest.xml

Когда вы исследуете приложение для Android, вы всегда должны начинать с просмотра файла AndroidManifest.xml. Не глядя на код, он даст вам представление о том, что делает приложение. Во-первых, разрешения.

Это приложение запрашивает множество подозрительных разрешений:

• чтение журнала вызовов, контактов, SMS, календаря, SD-карты
• отключения экрана блокировки
• доступ к местоположению
• установка новых приложений без вашего согласия
• ...

Наличие такого количества опасных разрешений в одном приложении - тревожный звоночек.

Еще один тревожный звоночек! Это приложение запрашивает множество опасных разрешений, но не имеет при этом интерфейса. Более того, мы видим, что у приложения отсутствует возможность запуска напрямую, у него вообще нет иконки! Так как же полиция запускает приложение без иконки? Используя ПО для Windows, мы видели информацию об этом чуть выше, в руководстве по устранению неполадок!

Иерархия файлов

Обратите внимание, что код был обфусцирован, я переименовал все, что смог.

Глядя на изображение выше, мы заполучили еще больше информации:

• Пакет MsgModule: у нас есть подтверждение, что это приложение является инструментом для слежки. Имена файлов показывают, что это приложение использует все опасные разрешения, упомянутые в AndroidManifest, xml.
• Пакет Server: при запуске приложения, запускается сервер.
• Пакет Xiaomi: что-то особенное для телефонов Xiaomi
• Файл CmdParser: бэкдор, чтобы принимать команды.
• Файл USBBroadcastReceiver: какой-то драйвер, необходимый при подключении полицейскими телефона жертвы к компьютеру.

Коммуникационный анализ

Ты заметил? Это приложение поднимает сервер и принимает команды. Нет, Android-приложение не отправляет данные на сервер, а наоборот.

В методе startServer MFSocket открывает порт 10102 вашего телефона и ждет команды.

Как я и предполагал, запустив приложение, открылся 10102 порт.

Название доступных команд - все понятно. С помощью этого приложения полицейские могут получать информацию о контактах, смс, журнале вызовов, местоположение, приложения, аудиофайлы, изображения, события календаря,…

USBBroadcastReceiver

Очень редко можно увидеть USB-ресивер. Конечному пользователю он вообще, как правило, не нужен. Так зачем он тут?

Совершенно очевидно, что когда полицейский отключит телефон от компьютера, приложение установится автоматически само. Никаких следов. Это подло.

Пакет MsgModule

Я уже много раз упоминал, какие данные может извлекать это приложение. Давайте посмотрим на некоторые из MsgModule.

В AudioMsgModule их интересует название, альбом, исполнитель, дата добавления аудиофайла,…

В CalendarMsgModule они получают всю информацию, содержащуюся в вашем календаре: название события, место, описание, время начала, время окончания,…

Очевидно, что в SmsMsgModule они перехватывают все ваши SMS с метаданными: человек, адрес, дата, протокол,…

В ContactsMsgOS20Module они перебирают ваши Telegram-контакты.

Финал

Представьте, что вы гражданин Китая, компания, в которой вы работаете, попросила вас пойти в полицейский участок.

Вы: Привет, господин полицейский!

Полицейский: Привет! Можно мне твой телефон?

Вы: Конечно. Вот

Полицейский: А можно разблокировать?

Вы: Конечно, конечно

Полицейский: Сядь и подожди

Полицейский идет к своему столу, подключает ваш телефон к компьютеру. Он использует программное обеспечение от Meiya Pico на Windows для установки MFSocket. Когда установка будет завершена, одним щелчком мыши он извлечет все ваши личные данные с вашего телефона и отдаст его вам обратно.

Полицейский: Можешь взять свой телефон. Спасибо за сотрудничество.

Вы: Спасибо, сэр. Хорошего дня!

Полицейский: Тебе тоже.

Вывод

Это больно, и это не выдуманный сценарий. Это реальность.

Задайте себе следующие вопросы:

• Зачем им столько данных?
• Куда эти данные отправляет полицейский?
• Представьте себе эту сцену в вашей стране. Страшно, правда?

Обновление 26.06.19: Потрясающий Виктор Геверс опубликовал в Твиттере пост о MFSocket для iOS.

Прочитать оригинал этого материала на английском можно здесь.

Cybred - канал об информационной безопасности и конкурентной разведке, вдохновленный идеями олдскульных андеграундных интернет-сообществ о свободе распространения информации в сети и всеобщей взаимопомощи.