"Мессенджер" Max
Я уже писал немного про российский национальный мессенджер, сразу после нашумевшего расследования про Telegram. Что-ж, если вам было мало, то подоспело и расследование про Max. Автор для начал загрузил эту помойку на Virustotal, а потом провел еще ряд тестов, чтобы понять что это за чудо, и вот что он выяснил:
Мессенджер запрашивает доступ к камере, микрофону, контактам, геолокации и даже вашим файлам, но это и так понятно что порой мессенджеру нужны такие разрешения если вы хотите отправить всё, но там есть доступ к bluetooth, локации, ТОЧНОМУ МЕСТОПОЛОЖЕНИЮ. Зачем обычному приложению для чатов столько разрешений? Это вызывает вопросы: что Max делает с такими возможностями и почему ему нужно так много данных?
Прикольно, правда? этот мессенджер уже на этапе разрешений наводит на невеселые мысли, но дальше еще веселее.
Я решил копнуть глубже и с помощью реверс-инжиниринга проверил Max. Уже на этапе загрузки APK на специальный сайт, который детально проверяет приложения на виртуальной машине, я заметил пару странностей — подозрительные запросы и активности, которые мессенджер не должен выполнять. А дальше больше: приложение собирает кучу данных — от истории звонков до сведений о вашем устройстве, и это явно не нужно для простого чата.
Копнув ещё глубже, я обнаружил, что Max использует jar-файлы для внедрения в систему вашего устройства. Эти файлы дают приложению доступ к системным функциям, которые мессенджеру попросту не нужны. Более того, в коде я заметил тег execution, который объявляет сервисы с разрешением привязки к системе. Это значит, что Max может работать на уровне, недоступном обычным чат-приложениям, и контролировать гораздо больше, чем ваши переписки. Такое поведение серьёзно настораживает.
Я лично очень сомневаюсь, что при удалении приложения оно удалит все внедренное в ваш телефон. Скорее все удалится только само приложение, а вот это все продолжить работать и передавать информацию.
Анализ Max показывает, что приложение действует с пугающей настойчивостью. Оно проверяет ваше устройство на рут-права, чтобы узнать, не используете ли вы дебаггер или не пытаетесь ли запустить его на виртуальной машине — это называется defensive_evasion. Более того, Max собирает данные об аккаунтах других приложений на устройстве (тег COLLECTION), запрашивает информацию о запущенных процессах (тег DISCOVERY), читает ваши контакты и содержимое фотографий (тоже COLLECTION, что, возможно, и ожидаемо для мессенджера). Но вот что настораживает: приложение удерживает устройство в активном состоянии с помощью wake lock, что для мессенджера совсем не типично. Такое поведение больше похоже на программу, которая работает в своих интересах, а не в ваших, и стремится скрыть свои действия.
А теперь самое тревожное: все данные, которые собирает Max — от ваших чатов до информации об устройстве, — отправляются прямиком на сервера VK. Мой анализ показал, что приложение постоянно передаёт огромные объёмы информации (В фоновом режиме так как читает уведомления с чужих приложений), включая то, что вы вряд ли хотели бы делить с разработчиками.
В общем перед нами самое настоящее шпионское ПО а никакой не мессенджер.
И напоследок ещё одна причина обходить Max стороной: приложение полно уязвимостей. Например, оно уязвимо к атаке MITM (человек посередине), которая позволяет перехватить ваши переписки и получить доступ к личным данным.
Вот тут я с автором не соглашусь, так как это очевидно не уязвимость, а специальный бэкдор для товарищей в погонах. Не баг, а фича, как говорится.
Короче говоря ни в коем случае не устанавливайте эту дрянь на свой телефон, потом, вероятно, придется только полный Reset делать до заводских настроек, очень уж глубоко эта опухоль свои щупальца запускает.
Просмотров: 17
