#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Konfety нацелена на устройства Android, используя стратегию "злых близнецов" с помощью доброкачественных и вредоносных приложений. Она использует скрытие на уровне ZIP и динамическую загрузку кода, чтобы скрыть свое поведение и усложнить обнаружение. Интегрированный с пакетом CaramelAds SDK, он проводит масштабную рекламную аферу и манипулирует взаимодействием пользователей с целью установки дополнительных полезных функций.
-----

Вредоносная программа Konfety нацелена на устройства Android, используя подход "злых близнецов", создавая дублирующиеся приложения с одинаковыми именами пакетов для повышения скрытности. Она использует защиту на уровне ZIP, манипулируя структурой APK с использованием неподдерживаемых форматов сжатия, таких как BZIP, для усложнения обратного проектирования. Вредоносная программа использует динамическую загрузку кода, скрывая критически важные функции в зашифрованных ресурсах, которые расшифровываются и запускаются во время выполнения. После запуска Konfety получает доступ к исполняемому файлу каталога (DEX) в памяти для выполнения дополнительных вредоносных функций. В нем реализованы такие функции, как скрытие значка приложения, имитация законного программного обеспечения и использование геозоны для изменения поведения в зависимости от местоположения. Вредоносная программа интегрируется с пакетом SDK CaramelAds для облегчения мошенничества с рекламой, поиска объявлений и поддержания связи с серверами, контролируемыми злоумышленниками. Действия пользователя приводят к перенаправлению на вредоносные веб-сайты, установке непроверенных приложений или одобрению уведомлений, что приводит к рассылке спама. В Konfety используется множество уровней запутывания и вводящих в заблуждение деклараций. Индикаторами ее эволюции являются специфические регулярные выражения и поведение всплывающих окон, которые связывают ее с предыдущими кампаниями. Вредоносная программа может перехватывать сетевые сообщения, перенаправляя пользователей через несколько веб-сайтов, чтобы увеличить их взаимодействие с вредоносным контентом.

#ParsedReport #CompletenessLow
17-07-2025

GhostContainer backdoor: malware compromising Exchange servers of high-value organizations in Asia

https://securelist.com/ghostcontainer/116953/

Report completeness: Low

Threats:
Ghostcontainer
Neo-regeorg_tool

Victims:
Key government agency, High tech company

Industry:
Government

Geo:
Asia, Asian

CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1090.001, T1095, T1105, T1140, T1190, T1562.001, have more...

IOCs:
File: 4
Hash: 1

Soft:
ASP.NET, Microsoft Exchange

Algorithms:
sha256, aes, sha1, md5, base64

Functions:
AppWebInit

Win API:
Decompress

Platforms:
intel, x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostContainer - это сложная вредоносная программа-бэкдор, нацеленная на серверы Microsoft Exchange и использующая CVE-2020-0688. Она использует динамическую загрузку модулей, позволяет избежать обнаружения путем манипулирования amsi.dll и ntdll.dll и работает как прокси-сервер для TCP-соединений, что усложняет обнаружение. Вредоносная программа нацелена на правительственный и высокотехнологичный секторы в Азии, интегрируя выполнение команд в законные запросы Exchange.
-----

Недавние расследования кибератак, связанных с правительственными учреждениями, выявили сложную разновидность вредоносного ПО, нацеленную на серверы Microsoft Exchange, которая была идентифицирована как GhostContainer. Это вредоносное ПО с бэкдором отличается высокой степенью настройки и возможностью динамического расширения за счет загрузки дополнительных модулей. Предполагается, что первоначальный взлом был вызван использованием известной уязвимости N-day, возможно, связанной с CVE-2020-0688, направленной на получение несанкционированного доступа к инфраструктуре Exchange.

Ключевой компонент вредоносной программы, файл с именем App_Web_Container_1.dll, служит "контейнером", который включает в себя несколько классов. Среди них класс Stub работает как синтаксический анализатор команд и управления (C2), выполняющий шеллкод и управляющий сервером, в то время как класс App_Web_843e75cf5b63 служит загрузчиком возможностей веб-прокси. Важно отметить, что бэкдор использует методы обхода, перезаписывая адреса памяти в amsi.dll и ntdll.dll, чтобы обойти интерфейс сканирования вредоносных программ (AMSi) и ведение журнала событий Windows, что сводит к минимуму вероятность обнаружения решениями безопасности.

Помимо своих основных функций, вредоносная программа выполняет дополнительные задачи, такие как извлечение компьютерного ключа из ASP.NET конфигураций для шифрования AES и расшифровки сообщений между злоумышленником и скомпрометированным сервером. Каждая команда, выполняемая классом Stub, генерирует ответ в формате XML, который также может указывать на ее потенциальную связь с ранее упомянутым эксплойтом.

Более того, вредоносная программа может работать как прокси-сервер или туннель, перенаправляя и управляя TCP-соединениями между Интернетом и внутренней сетью, что потенциально может привести к утечке данных. Взаимодействие с бэкдором легко интегрируется в обычные веб-запросы Exchange, что еще больше усложняет работу по обнаружению, поскольку вредоносное ПО не инициирует исходящие соединения с известными инфраструктурами C2. Вместо этого внешний злоумышленник отправляет команды, скрытые в рамках обычных обменов данными.

В настоящее время данные телеметрии выявили цели в Азии, в частности, правительственное учреждение и высокотехнологичную компанию. Характер этой атаки существенно отличается от известных вредоносных программ, поскольку при ее разработке используются многочисленные ресурсы с открытым исходным кодом. Такое включение делает традиционные определения происхождения вредоносного ПО ненадежными, что позволяет предположить, что различные хакеры или APT-группы могут использовать аналогичные методы. В настоящее время усилия направлены на сбор дополнительной информации о возможностях вредоносного ПО и понимание его более широкого воздействия на целевые сектора.

#ParsedReport #CompletenessMedium
17-07-2025

KAWA4096s Ransomware Tide: Rising Threat With Borrowed Styles

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/kawa4096s-ransomware-tide-rising-threat-with-borrowed-styles/

Report completeness: Medium

Actors/Campaigns:
Kawa4096
Akira_ransomware

Threats:
Akira_ransomware
Qilin_ransomware
Shadow_copies_delete_technique
Wevtutil_tool
Qtox_tool

Geo:
Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1057, T1106, T1204.002, T1486, T1489, T1490, T1491

IOCs:
File: 21
Command: 2
Url: 1
Email: 1
Hash: 2

Soft:
Windows Service, QuickBooks, MSExchange, mysql, DefWatch, steam, onenote, thebat, outlook, firefox, have more...

Algorithms:
sha256, md5, base64, sha1

Win API:
LoadResource, ControlService, TerminateProcess

Win Services:
AcronisAgent, GxFWD, SAPHostControl, AcrSch2Svc, GXMMM, SAPHostExec, GxVss, SAPService, BackupExecAgentAccelerator, GxVssHWProv, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KAWA4096 - это новый вариант программы-вымогателя, предназначенный для США и Японии, отличающийся передовыми технологиями многопоточной синхронизации и шифрования файлов. Он активно отключает процессы, связанные с системами безопасности и резервного копирования, удаляет теневые копии и применяет меры, гарантирующие запуск только одного экземпляра. В уведомлении о требовании выкупа и на сайте об утечке данных используются элементы дизайна других групп программ-вымогателей для повышения доверия.
-----

KAWA4096 - это новый вариант программы-вымогателя, появившийся в июне 2025 года и нацеленный в первую очередь на Соединенные Штаты и Японию. Он разработан по образцу Akira ransomware group и использует формат записки с требованием выкупа, напоминающий Qilin's, что, вероятно, повысит его узнаваемость и доверие к нему. К середине 2025 года жертвами KAWA4096 стали по меньшей мере 11 человек, что указывает на его активное участие в борьбе с программами-вымогателями, в которой в течение года наблюдался всплеск числа новых групп.

Техническая архитектура программы-вымогателя включает в себя расширенные возможности, такие как использование семафоров для многопоточной синхронизации и возможность шифрования файлов на общих сетевых дисках. Вредоносный код напрямую загружает свою конфигурацию в двоичный файл, указывая свои рабочие параметры, включая список приложений и служб, которые должны быть завершены после выполнения. Примечательно, что при запуске без параметров командной строки KAWA4096 создает новый экземпляр самого себя с параметром "-all", гарантируя, что по умолчанию его функциональность полностью задействована.

Чтобы гарантировать, что запущен только один экземпляр, KAWA4096 создает мьютекс с именем SAY_HI_2025. Он активно воздействует на процессы, связанные с антивирусным программным обеспечением, SQL-серверами, системами резервного копирования и приложениями SAP, используя API Windows Service Control Manager, чтобы остановить эти службы перед выполнением своей полезной нагрузки. Кроме того, он использует выделенный поток для мониторинга и завершения определенных процессов на основе своей конфигурации на протяжении всего запуска вредоносной программы, используя для выполнения API TerminateProcess.

Программа-вымогатель удаляет теневые копии с помощью инструментария управления Windows (WMI) для выполнения команд, которые усиливают ее воздействие на возможности жертвы по восстановлению данных. KAWA4096 запускает несколько потоков (в анализируемом примере их число равно 10) для эффективного шифрования файлов и использует общую очередь для управления путями к файлам, которые нуждаются в шифровании. Он изменяет значки зашифрованных файлов, имитируя те, которые используются "SQL Monitor", в дополнение к изменению обоев рабочего стола жертвы, которые в проверенной версии настроены на сплошной черный цвет.

Записка с требованием выкупа, сгенерированная KAWA4096, имеет сходство с запросом программы-вымогателя Qilin, хотя и с незначительными изменениями. Кроме того, сайт по утечке данных компании отличается дизайном, похожим на сайт Akira, с интерфейсом терминала, выполненным зеленым по черному, что способствует повышению репутации группы.

Несмотря на то, что на данный момент он не связан ни с какими известными хакерами, поведение и методы, продемонстрированные KAWA4096, служат напоминанием организациям о необходимости принятия надежных мер безопасности и бдительности в отношении возникающих угроз. Службы кибербезопасности, подобные тем, которые предоставляет Trustwave, разработали правила обнаружения для выявления методов, используемых такими программами-вымогателями, что подчеркивает постоянную необходимость адаптации к меняющимся условиям кибербезопасности.

#ParsedReport #CompletenessMedium
17-07-2025

Chinese Malware Delivery Domains: Part III

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iii/

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Victims:
Chinese-speaking individuals, Chinese-speaking entities, Individuals engaged in sales and marketing, Business prospects possessing chinese language skills

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1140, T1204.001, T1204.002, T1583.001

IOCs:
Url: 174
Hash: 42
Domain: 1174

Soft:
Chrome, Microsoft Defender, gmail

Wallets:
coinbase

Algorithms:
xor, sha256

Languages:
javascript

Links:
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/SilverFox-Pt3.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilverFox, хакер, действующий с июня 2023 года, нацелен на носителей китайского языка, использующих более 2800 доменов, для распространения вредоносного ПО для Windows с помощью поддельных загрузок и вводящих в заблуждение запросов. Их вредоносная программа поставляется в виде zip-файла с установщиком .msi и загрузчиком (`svchost.13.exe`), использующим XOR-шифрование для получения дополнительной полезной информации. Несмотря на повышенную безопасность браузера, обнаружение угроз SilverFox остается сложной задачей, что подчеркивает необходимость более тщательного обучения пользователей и принятия мер безопасности.
-----

SilverFox активно занимается хакерской деятельностью с июня 2023 года, нацеливаясь на физических и юридических лиц, говорящих на китайском языке. Они работают в основном в рабочее время на китайском языке. Злоумышленник создал более 2800 доменов для распространения вредоносного ПО с помощью поддельных загрузок приложений и вводящих в заблуждение запросов на обновление. Они специализируются на атаках с финансовой подоплекой, в частности, на краже учетных данных и финансовых средств. Их мишенями являются сотрудники отдела продаж и маркетинга, связанные с китайскоязычным рынком.

По состоянию на июнь 2025 года 266 доменов остаются активными, что свидетельствует о постоянном характере кампании. SilverFox использует средства защиты от автоматизации и проверки на эмуляцию браузера в своих доменах. Один из доменов, "googeyxvot.top", использует ложные ошибки, чтобы обманом заставить пользователей загружать вредоносное ПО. Для доставки вредоносного ПО используется вредоносный zip-файл с установщиком .msi, который развертывает исполняемые файлы, включая `svchost.13.exe", который действует как загрузчик.

Этот загрузчик использует сложные методы, такие как расшифровка шеллкода с помощью XOR-шифрования, для получения дополнительных данных с удаленного сервера. Современные защитные меры в веб-браузерах, таких как Chrome и Edge, включают расширенные функции безопасности, но скорость обнаружения полезных данных в SilverFox остается сложной задачей. Для снижения рисков рекомендуется применять усиленные меры безопасности, обучать пользователей борьбе с фишингом и использовать многофакторную аутентификацию.

#ParsedReport #CompletenessHigh
17-07-2025

From a Teams Call to a Ransomware Threat: Matanbuchus 3.0 MaaS Levels Up

https://www.morphisec.com/blog/ransomware-threat-matanbuchus-3-0-maas-levels-up/

Report completeness: High

Threats:
Matanbuchus_maas
Microsoft_quick_assist_tool
Lolbin_technique
Process_hollowing_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1047, T1053.005, T1055, T1055.012, T1059.001, T1059.003, T1059.005, T1071.001, have more...

IOCs:
File: 20
Domain: 5
IP: 1
Hash: 5

Soft:
Windows Defender, task scheduler

Algorithms:
salsa20, murmur3, fnv1-a, rc4, zip

Functions:
Teams, COM, GetVolumeInformation, HttpOpenRequest, HttpSendReques

Win API:
DLLInstall, DllRegisterServer, IsWow64Process, CoCreateInstance, ExpandEnvironmentStringsW, CreateMutexW, RegQueryValueW, CoCreateGuid, GetTempFileNameW, GetEnvironmentVariableW, have more...

Win Services:
bits, msmpeng, savadminservice, mcshield, ekrn

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matanbuchus - это загрузчик вредоносных программ, доступный как Malware-as-a-Service с 2021 года, последняя версия которого расширяет его возможности для целенаправленных кибератак, включая программы-вымогатели. Ключевые особенности включают в себя сложные методы обхода, динамическую загрузку библиотек DLL и связь через порт 443 с инфраструктурой управления. Его выполнение начинается со сценария, который запускает скрытую загрузку архива, используя передовые методы шифрования и сохранения данных, чтобы сохранить точку опоры в скомпрометированных системах.
-----

Matanbuchus - это вредоносный загрузчик, предлагаемый как Malware-as-a-Service (MaaS) с 2021 года, предназначенный в первую очередь для загрузки и выполнения дополнительной полезной нагрузки в скомпрометированных системах Windows. С появлением Matanbuchus 3.0 ряд важных обновлений расширил его возможности, сделав его жизненно важным инструментом при целенаправленных кибератаках, ведущих к потенциальным инцидентам с программами-вымогателями. Последние тенденции указывают на тревожный рост его использования, особенно в таких кампаниях, как кампания, нацеленная на клиентов Morphisec в июле 2025 года, когда злоумышленники выдавали себя за ИТ-службу поддержки через Microsoft Teams для развертывания вредоносного ПО.

В обновленной версии Matanbuchus используются новые методы доставки с улучшенными протоколами связи и возможностями скрытности, в которых особое внимание уделяется усовершенствованным стратегиям обфускации, шифрования и уклонения. Известные функции включают поддержку запросов WQL, возможности обратной оболочки CMD и PowerShell, а также различные методы для выполнения последующих полезных нагрузок, таких как EXE, DLL, MSI и шеллкод. Вредоносная программа использует сложные средства, чтобы избежать обнаружения, часто используя косвенные системные вызовы и модифицированные методы сохранения данных.

Типичный процесс выполнения начинается с того, что жертва запускает скрипт, запускающий загрузку архива, замаскированного под программу обновления Notepad++ (GUP). Этот архив содержит загрузчик Matanbuchus, а также измененный XML-файл конфигурации и вредоносную DLL-библиотеку. Загрузчик инициирует свои действия, динамически разрешая библиотеки DLL, используя API-интерфейсы для обхода мер безопасности и используя расширенный шелл-код для выполнения. Расшифровка данных выполняется с использованием шифрования Salsa20, что является заметным улучшением по сравнению с более ранними версиями, в которых использовался RC4.

В Matanbuchus 3.0 реализованы методы для проведения разведки системы, выявления элементов управления безопасностью и определения текущих привилегий на выполнение. Эта информация определяет последующие действия вредоносного ПО и регистрацию команд в его инфраструктуре управления и переподготовки (C2). Вредоносная программа взаимодействует через порт 443, устанавливая сеанс и используя HTTP-запросы для передачи собранных данных обратно на C2 для получения дальнейших инструкций, корректируя свою тактику в зависимости от настроек безопасности жертвы.

Постоянство достигается за счет передовых методов планирования задач, использующих COM для внедрения шелл-кода, который взаимодействует со службой системного планировщика задач. Такой многоуровневый подход позволяет Matanbuchus закрепиться в скомпрометированных системах, способствуя выполнению вредоносных команд с помощью различных законных системных процессов, таких как regsvr32 и rundll32.

#ParsedReport #CompletenessHigh
17-07-2025

Threat Analysis: SquidLoader - Still Swimming Under the Radar

https://www.trellix.com/blogs/research/threat-analysis-squidLoader-still-swimming-under-the-radar/

Report completeness: High

Threats:
Squidloader
Cobalt_strike_tool
Spear-phishing_technique
Uacme_tool

Victims:
Financial services institutions

Industry:
Entertainment, Financial

Geo:
Hong kong, Chinese, Australia, Singapore

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055, T1057, T1063, T1071.001, T1105, T1106, T1140, T1204.002, have more...

IOCs:
File: 28
Path: 1
Url: 1
IP: 1

Soft:
Microsoft Word, Windows Defender

Algorithms:
exhibit

Functions:
SquidLoader

Win API:
winmain, GetEnvironmentVariableA, NtQueryInformationProcess, NtQuerySystemInformation, NtTerminateProcess, NtCreateThreadEx, SleepEx, NtQueueApcThread, NtWaitForSingleObject, NtClose, have more...

Win Services:
MsMpEng

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа SquidLoader нацелена на финансовые учреждения Гонконга с помощью передовых методов уклонения и пятиэтапной цепочки заражения, начиная с фишинговых электронных писем с вредоносными вложениями. Он использует такие тактики, как бинарная маскировка PE и связь с сервером C2 для постоянного доступа, используя методы, позволяющие избежать обнаружения и анализа, что указывает на более широкую региональную кампанию атак.
-----

Недавние действия, связанные с вредоносным ПО SquidLoader, свидетельствуют о целенаправленной атаке на учреждения финансовых услуг в Гонконге, для которой характерны передовые методы уклонения, обеспечивающие практически нулевой уровень обнаружения на таких платформах, как VirusTotal. В своей работе вредоносная программа проходит пятиэтапную цепочку заражения, которая начинается с рассылки фишингового электронного письма, которое служит отправной точкой для атаки. Это электронное письмо, написанное на китайском языке, содержит защищенный паролем архив RAR, замаскированный под счет-фактуру. После извлечения вложение содержит вредоносный двоичный файл Portable Executable (PE), который выдает себя за подлинный документ Microsoft Word, хотя на самом деле обладает свойствами, аналогичными подлинному компоненту "AMDRSServ.exe", связанному с настройками Radeon.

Вредоносная программа SquidLoader использует ряд продвинутых тактик, направленных на то, чтобы скрыть свои вредоносные намерения. После запуска двоичного файла PE она копирует себя в указанный каталог на компьютере пользователя. На следующем этапе вредоносная программа подключается к серверу управления (C2) и загружает Cobalt Strike Beacon, который позволяет злоумышленникам сохранять постоянный доступ к скомпрометированной системе. На протяжении всей цепочки атак SquidLoader использует множество сложных методов уклонения, включая перехват функции __scrt_common_main_seh для скрытого запуска вредоносного кода, выполнение его полезной нагрузки с помощью пользовательского метода распаковки XOR и использование динамического разрешения вызовов Windows API для дальнейшего уклонения от статического анализа.

Чтобы еще больше усложнить работу по обнаружению, SquidLoader включает в себя различные меры по предотвращению анализа, такие как проверка имен конкретных пользователей и процессов и завершение работы, если он идентифицирует какие-либо процессы, занесенные в черный список. Он также включает механизмы противодействия изолированным средам, включая длительные интервалы ожидания и вводящие в заблуждение сообщения об ошибках, призванные сбить с толку автоматизированные системы обнаружения. Связь с основным сервером C2 осуществляется по URL-адресу, связанному с Kubernetes, что наводит на мысль о закономерности среди недавних образцов SquidLoader, которые демонстрировали столь же низкие показатели обнаружения и обменивались данными с различными хостами C2.

Содержимое электронной почты, предназначенной для фишинга, направлено на то, чтобы обмануть получателей, используя знакомые контексты и выдавая себя за безобидный запрос на проверку документов. Результаты недавних анализов указывают на то, что эти образцы SquidLoader могут быть сосредоточены не только в Гонконге, но и распространяться на такие регионы, как Сингапур и Австралия, что подразумевает более широкую кампанию атак с изменяемыми стратегиями регионального таргетинга. Продуманные действия социальной инженерии в сочетании со сложными техническими возможностями вредоносного ПО подчеркивают значительный масштаб угроз, с которыми финансовые организации должны иметь дело для защиты от потенциальных взломов.

#ParsedReport #CompletenessMedium
17-07-2025

Massistant: A Successor to Meiya Pico s MFSocket

https://security.lookout.com/threat-intelligence/article/massistant-chinese-mobile-forensics

Report completeness: Medium

Threats:
Massistant_tool
Mfsocket_tool

Victims:
Tourists, Business travelers, Persons of interest, Russian military investigative committee, Tibet police college

Industry:
Software_development, Military, Education, Government

Geo:
Russian, Russian federation, Tibet, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1410, T1411, T1420, T1435, T1436, T1466, T1476

IOCs:
File: 2
Hash: 23
Url: 1

Soft:
Twitter, Android, Telegram, Google Play, Instagram

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MFSocket и его преемник Massistant - это инструменты наблюдения, связанные с китайской Meiya Pico, которые позволяют извлекать обширные данные с мобильных устройств. Massistant может собирать данные о сообщениях из таких приложений, как Signal и Telegram, для установки требуется физический доступ, а для обхода разрешений используются специальные сервисы. Пользователи сталкиваются с риском перехвата данных во время взаимодействия с китайскими правоохранительными органами, даже после возврата устройств.
-----

MFSocket - это инструмент мобильного наблюдения, который, как сообщается, используется китайской полицией и принадлежит компании Xiamen Meiya Pico Information Co., Ltd. Исследователи в области кибербезопасности подтвердили свою причастность к этой компании, подписав сертификаты. Приложение-преемник, Massistant, также было подключено к Meiya Pico с помощью сертификата подписи Android. Это приложение предназначено для работы с программным обеспечением для настольной криминалистики для извлечения данных с мобильных устройств, работающих через локальный хост на порту 10102. Пользователи должны предоставить разрешения на доступ к различным функциям, включая GPS, SMS, изображения, аудио, контакты и телефонные услуги. Кроме того, Massistant включает в себя BroadcastReceiver, который может удалить приложение, если устройство отключено от USB-порта, и использует службы специальных возможностей для автоматического обхода запросов безопасности и предоставления разрешений.

Последняя версия Massistant (версия 8.5.7) обеспечивает подключение через Android Debug Bridge по Wi-Fi и возможность загрузки файлов. Ее функциональность распространяется на сбор данных о сообщениях из таких приложений, как Signal, Letstalk и Telegram. Примечательно, что оно недоступно в Google Play Store и требует физического доступа для установки. В отчетах указывается, что возможности этих инструментов для наблюдения могут сохраняться на устройствах, возвращенных правоохранительными органами после конфискации.

В ходе расследования руководство по устранению неполадок для MFSocket показало, что его можно перенести на мобильные устройства, используя определенные модели систем сбора доказательств Meiya Pico. Эти модели, обозначенные как серии DC-4501, DC-4700 и FL-900, продаются через веб-сайт компании. В руководстве указывалось, что Meiya Pico отказалась от более ранних версий своих продуктов в пользу обновленных версий, что позволяет предположить, что MFSocket, возможно, был заменен на Massistant примерно в середине 2020 года.

Meiya Pico - китайская технологическая компания, торгуемая на бирже, работающая на рынке коммерческого видеонаблюдения, и ее продукция часто демонстрируется на международных выставках для правоохранительных органов. Они также были связаны с иностранными организациями, в частности, с российскими военными, хотя, как сообщается, крупная закупка средств наблюдения была аннулирована из-за мошенничества с лицензированием.

С декабря 2023 года компания Meiya Pico претерпела ребрендинг на SDIC Intelligence Xiamen Information Co., Ltd. Несмотря на это изменение названия, в существующих версиях программного обеспечения Meiya Pico по-прежнему упоминается как компания-разработчик. Учитывая активное взаимодействие компании с Министерством общественной безопасности Китая и международными инициативами по обучению сотрудников правоохранительных органов, пользователи, путешествующие в материковый Китай или в пределах материковой части Китая, серьезно обеспокоены возможностью перехвата их мобильных данных в рамках законных операций по слежке.