Приложение MAX (пакет ru.oneme.app) позиционируется как быстрый и лёгкий мессенджер для общения с функциями высококачественных звонков, анимированных стикеров и отправки файлов до 4 ГБ. Однако глубокий анализ выявляет наличие обширных механизмов для сбора данных и потенциально опасной фоновой активности, выходящей далеко за рамки необходимой для мессенджера функциональности.
Основные аспекты анализа
- Обфускация кода: Значительная часть кода, особенно в модуле com.my.tracker.obfuscated, подвергнута сильной обфускации. Имена классов, методов и переменных заменены на бессмысленные идентификаторы, что целенаправленно затрудняет анализ истинной логики работы приложения и скрывает его реальные функции.
- Масштабный сбор данных (модуль MyTracker): Приложение интегрирует трекер, который собирает исчерпывающую информацию о пользователе:
- Пользовательские события: Отслеживаются рекламные события, покупки, запуски приложения, время, проведенное в приложении, и активность в мини-приложениях.
- Персональные данные: Собираются возраст, пол, адреса электронной почты, номера телефонов, а также идентификаторы из социальных сетей (VK, OK.ru, ICQ).
- Системные данные: Через специальные провайдеры приложение может получать доступ к списку всех установленных на устройстве приложений.
- Обширные системные разрешения: AndroidManifest.xml запрашивает доступ к критически важным функциям устройства, включая:
- Данные пользователя: Чтение и изменение контактов (READ_CONTACTS, WRITE_CONTACTS), доступ к учетным записям (GET_ACCOUNTS), чтение телефонных номеров (READ_PHONE_NUMBERS).
- Аппаратные возможности: Доступ к камере (CAMERA), микрофону (RECORD_AUDIO), точному местоположению (ACCESS_FINE_LOCATION) и биометрическим данным (USE_BIOMETRIC).
- Системное управление: Отображение окон поверх других приложений (SYSTEM_ALERT_WINDOW), автозапуск при включении устройства (RECEIVE_BOOT_COMPLETED), запрос на установку других приложений (REQUEST_INSTALL_PACKAGES) и предотвращение перехода устройства в спящий режим (WAKE_LOCK).
- Закрепление в системе и фоновая активность: Приложение использует службы переднего плана (Foreground Services), которые позволяют ему работать в фоновом режиме с постоянным доступом к микрофону, камере, местоположению и даже осуществлять захват экрана (mediaProjection). Это обеспечивает непрерывный сбор данных, даже когда пользователь не взаимодействует с приложением напрямую.
Ключевые выводы и угрозы
- Высокоинтрузивный сбор данных: Объем и характер собираемой информации значительно превышают потребности стандартного мессенджера, превращая приложение в мощный инструмент для слежки.
- Постоянная фоновая активность: Возможность фонового использования камеры, микрофона и захвата экрана представляет серьезную угрозу конфиденциальности, так как все действия пользователя могут быть записаны и переданы без его ведома.
- Скрытие истинной функциональности: Обфускация кода является явным признаком намерения скрыть истинные механизмы сбора и обработки данных от исследователей безопасности.
- Потенциал для дальнейших угроз: Разрешения на установку пакетов и отображение окон поверх других приложений могут быть использованы для доставки вредоносного ПО, фишинга или других видов атак.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 7215 4401