Lookout Tehdit Laboratuarındaki siber güvenlik araştırmacıları, Çin kolluk kuvvetleri tarafından el konulan mobil cihazlardan kapsamlı veriler çıkarmak için konuşlandırılan sofistike bir mobil adli tıp uygulamasını ortaya çıkardılar.
Araç, selefi MFSocket’ten, cihaz güvenlik önlemlerini atlamak ve SMS mesajları, görüntüler, ses dosyaları, GPS konum verileri, kişiler ve mesajlaşma uygulama içeriği gibi hassas bilgileri toplamak için gelişmiş özellikleri içeren önemli bir evrimi temsil eder.
Keşif, özellikle Çinli yetkililer, 2024 yılında Devlet Güvenliği Bakanlığı tarafından getirilen ve varantlar olmadan cihaz toplama ve analizine izin veren yeni mevzuat kapsamında dijital gözetim yeteneklerini genişlettikçe, uluslararası iş seyahatinde olanlar ve işletme kuruluşları için kritik güvenlik endişelerini gündeme getirmektedir.
Anekdot raporları, Çin kolluk kuvvetlerinin iş seyahatinde olan cihazları sistematik olarak topladığını ve analiz ettiğini ve bazı durumlarda cihazlar sahiplerine iade edildikten sonra bile etkinlik izlemeye devam eden kalıcı gözetim modüllerini ortaya koyduğunu göstermektedir.
Teknik mimarlık
Massistant, Meiya Pico’nun daha geniş mobil ana adli tıp ekosisteminde bir istemci tarafı bileşeni olarak çalışır ve selefi MFSocket ile aynı olan Localhost Port 10102 aracılığıyla masaüstü forensik yazılımı ile iletişim kurar.
Uygulama, kurulum için fiziksel cihaz erişimi gerektirir ve hiçbir zaman Google Play Store gibi resmi kanallar aracılığıyla dağıtılmamıştır ve bu da yetkili kolluk personeli tarafından özel kullanımını gösterir.
Aracın teknik karmaşıklığı basit veri çıkarmanın ötesine uzanır. Kurulum üzerine, çok büyük bir cihaz GPS konum verilerine, SMS mesajlarına, görüntülere, ses dosyalarına, kişilere ve telefon hizmetlerine erişmek için kapsamlı izinler talep eder.
Uygulama, Basitleştirilmiş Çince ve ABD İngilizcesi ile sınırlı çok dilli destek içeriyor ve birincil dağıtım hedeflerini hem yerli Çinli kullanıcıları hem de uluslararası ziyaretçileri öne sürüyor.
Kullanıcılar uygulamadan çıkmaya çalıştıklarında, aracın “Veri Al” modunda olduğunu gösteren bildirimler alırlar ve aktif adli tıp operasyonları sırasında sonlandırmayı etkili bir şekilde önler.
Büyük bir şekilde yapılan kritik bir ilerleme, cihaz koruma uygulamalarından güvenlik istemlerini otomatik olarak atlamak için tasarlanmış geliştirici tarafından belirlenen “Autoclick” sınıfları aracılığıyla erişilebilirlik hizmetlerinin uygulanmasını içerir.
Bu özellik, aracın MIUI Güvenlik Merkezi gibi uygulamalarda güvenlik önlemlerini atlatmasına ve kullanıcı müdahalesi olmadan otomatik olarak gerekli izinleri vermesine izin verir.
En son sürüm 8.5.7, WiFi üzerinden Android hata ayıklama köprüsü aracılığıyla kablosuz bağlantı ve ana kütüphane libnativeutil.so aracılığıyla uzlaşmış cihazlara ek dosyalar indirme yeteneği sunar.
Kurumsal arka plan
Massistant’ın gelişimi, anakara Çin’in dijital adli tıp pazar payının yaklaşık% 40’ını kontrol eden halka açık bir Çin teknoloji şirketi olan Xiamen Meiya Pico Information Co., Ltd.’ye geri dönüyor.
Şirket, Aralık 2023’te adını SDIC Intelligence Xiamen Information Co., Ltd. olarak değiştirerek kurumsal bir yeniden yapılandırmaya uygulandı, ancak hem MFSocket hem de Massistant için sertifikalar imzalamak orijinal Meiya Pico atamasına başvurmaya devam etti.
Adli tıp aracı ilk olarak Haziran 2019’da Çinli gazeteci Muyi Xiao’nun, polis karşılaşmalarından sonra cihazlarında MFSocket kurulumlarını keşfettiğini belgeleyen raporları izleyen raporları takip etti.
Siber güvenlik araştırmacısı Baptiste Robert daha sonra Meiya Pico’nun imzalama sertifikalarının analizi yoluyla katılımını doğruladı.
20120 yılına dayanan Çin soru ve cevap forumları, MFSocket’in yerine Meiya Pico’nun DC-4501, DC-4700 ve FL-900 fahiş sistemlerinin V2 ila V3 versiyonları ile çakıştığından, aracın dağıtımını gösteren büyük kurulumların kullanıcı raporlarını içerir.
Meiya Pico’nun uluslararası erişimi Çin sınırlarının ötesine uzanıyor ve Rus adli tıp ekipmanı ve Kemer ve Yol Girişim Ülkeleri için eğitim programları için belgelenmiş ortaklıklar.
Bununla birlikte, şirket 2021 yılında Çin Askeri Şirketler Yaptırımları Programı kapsamında ABD Yabancı Varlık Kontrolü’nden yaptırımlarla karşı karşıya kaldı ve bu da gözetim yetenekleri konusunda artan uluslararası endişeyi yansıtıyor.
Forum raporları, ara sıra başarısızlıkların uygulamanın varlığını keşfetmesiyle sonuçlandığını gösterse de, aracı USBBroadcastreceiver’ı kullanan sofistike kendini yok etme mekanizması otomatik kaldırma girişimleri.
Kurumsal Güvenlik ekipleri için, geri dönen cihazlarda büyük ölçüde varlığı, araç kendini başarıyla kaldırsa bile, adli tıp uzlaşmasının açık bir göstergesi olarak işlev görür.
Uzlaşma göstergeleri
| Sha1 karma |
|---|
| 895AD87F382DE53F7323117B47150AAF0550CBF4 |
| 7A6D81B19425D985270121C46368C9AC12ED1B26 |
| 14c29a0e44076c88b177193650a9d4567291d0ea |
| 256c357f884f33c032d2352ee6ff73fe94da83a8 |
| 91a6e8769be93f625f239f9c8bad82545c936f20 |
| CEB3B0C6DC703C76D274F4862D98B4F054536518 |
| 66ef2c18178d898a210d0b17f3b23394306b40 |
| 4cc68d1538c372a31d2989e04f1c0726a6bb7a |
| E5D4685AWC44184AE0D249269A94018C88A4FF |
| 0275F283CE280F717A2674D82AAF1CB562C3B90C |
| 215bd2972c5598787Addadd911915b9a04932d68d |
| 990004827ec2b08b52afd0df5750cfed502dbc1c |
| Df4c8bccadf71d5c29a7a92d40fee4629fe7a384 |
| 93c5cd3a0b04012927ccd29e50e505572492fcfbee |
| 865920F99A96C294C9857A761CE0729F3A8F2F7 |
| 71FC752AF7D108B7AEDE7D17C7DAE3A9CB3470 |
| 4B30D1D9D4A1E1E4571D4CD7AAB91AEE192A7A512 |
| 1C6E67C6F1C9B6A332D844B772AF3EF9E5E8D8DD |
| f22ea7248d023f74f631a8812115bff4981df2e7 |
| 2458fa6f7b0faf662a940ab92a1f144b2c384ce4 |
| F514F711B4B83D3CF2A4B4C602483A120B448F63 |
| 7C4F46DF0B9FCA801719B7F67F642BD0A9E97 |
| C17E9325A6932FFF8B725B18E4DDCB6DADAD9457 |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now