Meiya Pico’nun kötü şöhretli bir halef olarak 2013 ortasında ortaya çıkan Mfsocketyeni tanımlanmış Android uygulaması Cüsseli Çin sınır kontrol noktalarında ve polis karakollarındaki el konulan el cihazlarında yüzeye çıkmaya başladı.
Gizli uzaktan teslimata dayanan geleneksel casus yazılımların aksine, Cüsseli yüklü fiziksel olarak Bir cihaz resmi gözaltında olduğunda, yüksek hızlı bir adli döküm yapmak için bir Meiya Pico “Mobil Master” iş istasyonu ile eşleşir.
Gezginler, tanıdık olmayan simgeyi ancak telefonları iade edildikten sonra bulduğunu bildirirken, adli analistler her varyantı Xiamen Meiya Pico Information Co., Ltd.’ye ait bir imza sertifikasına kadar takip ettiler-şimdi SDIC zekası olarak yeniden markalaşmış ancak hala Çin’in dijital-forensik pazarının kabaca% 40’ını kontrol ediyor.
Lookout analistleri, kötü amaçlı yazılımların Google Play yerine yan yükleme kanallarına kasıtlı kısıtlamasını kaydetti ve otomatik pazar veterinerinden kaçınmasını sağladı. Bir kez başlatıldıktan sonra, GPS, SMS, kamera rulosu, mikrofon, kontaklar ve telefon için derhal ince taneli izinler ister-üniformalı bir memurun kısa muayene penceresi sırasında kolayca verebileceği süreler.
Cüsseli Ardından TCP/10102’de yerel bir hizmet açar ve masaüstü istemcisinin USB bağlantısında Android Hata Ayıklama Köprüsü (ADB) komutlarını ileri sürmesini bekler ve birkaç dakika içinde veri bölümlerini hasat eder.
%20and%20MFSocket%20icon%20(bottom)%20look%20identical%20(Source%20-%20Lookout).webp)
Bu, yeniden kullanılan aynı başlatıcı simgelerini gösterir. Mfsocketpaylaşılan paket adları ve kelimenin tam anlamıyla “mfsocket.xml” başlıklı bir dahili XML dosyası ile onaylanan kod tabanı soyunun altını çizme.
%20and%20Massistant%20(bottom)%20package%20structures%20are%20similar,%20with%20additional%20packages%20added%20for%20Massistant%E2%80%99s%20more%20robust%20featureset%20(Source%20-%20Lookout).webp)
Bu, ahize ve iş istasyonunu bağlayan yerel ev el sıkışmasının paket izlerini yakalar.
Sürekli casusluk için ikamet eden emtia kötü amaçlı yazılımların aksine, Cüsseli USB kablosu çıkarıldığında ayak izini silme girişimleri.
Amaca uygun bir USBBroadcastReceiver Bağlantı kesme olayını dinler ve APK’yı sessizce kaldırır; Bununla birlikte, bu kendi kendini silme anekdotsal başarısızlıkları, son kullanıcılara aracı ortaya çıkarır ve araştırmacılara tersine mühendis için bir örnek verdi.
// Auto-removal routine extracted from Massistant v8.5.7
public class USBBroadcastReceiver extends BroadcastReceiver {
public void onReceive(Context ctx, Intent i) {
if (Intent.ACTION_USB_DEVICE_DETACHED.equals(i.getAction())) {
ctx.getPackageManager()
.setComponentEnabledSetting(
new ComponentName(ctx, getClass()),
PackageManager.COMPONENT_ENABLED_STATE_DISABLED,
PackageManager.DONT_KILL_APP);
Runtime.getRuntime().exec("pm uninstall com.meyapico.massistant");
}
}
}Enfeksiyon mekanizması ve ADB otomasyonu
Massistant’ın en çarpıcı evrimi, güvenlik diyaloglarını otomatik olarak reddeden ve MIUI gibi sertleştirilmiş ROM’larda bile izin hibelerini garanti eden “Autoclick” erişilebilirlik hizmetidir.
Ana Kütüphane libNativeUtil.so Ayrıca bir ADB-Fi-Fi arka kapısı ortaya çıkarır: Adli dizüstü bilgisayar USB üzerinden kimlik doğrulaması yaptıktan sonra, cihazın WLAN arayüzüne geçebilir, yardımcı ikili dosyaları kopyalayabilir ve ekstraksiyonu çözmeden devam edebilir.
Laboratuvar testi sırasında, gözetleme araştırmacıları sert kodlu kabuk komutlarını belirlediler (setprop service.adb.tcp.port 5555 ardından stop adbd && start adbd) ADB’yi TCP modunda yeniden açan bir özellik, Meiya Pico’nun ticari sitesinde 2024 “Mobil Master Serisi” yükseltmesi olarak sessizce ilan edilen bir özellik.
USB kurulumu, erişilebilirlik bypass ve geçici Wi-Fi oturumlarının kombinasyonu, araştırmacıların sinyal, telgraf ve letstalk’tan gelen mesajları atmalarını sağlar-bu uygulamalar yerel depolamayı şifreliyor olsa bile-adli implantı ovarak.
Kurumsal güvenlik ekipleri için bulgu, USB hata ayıklamasını devre dışı bırakan, güçlü cihaz şifrelemesini uygulayan ve başarı gibi artık artefaktları tespit edebilen gezi sonrası bütünlük taramaları gerçekleştiren “seyahat modu” politikalarının önemini vurgulamaktadır. mfsocket.xml veya önbelleğe alınmış sqlite özleri Cüsseli Bazen geride kalır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.