72 подписчика
Из одной запрещённой сети:
[Пишут тут...] Мы нашли модуль удаленного управления в мессенджере MAX.
Слухи о том, что это приложение — троян, ходили давно. Но фактуры о наличии шпионских функций практически не было, только косвенные указания.
Сначала контекст (то, что раскопали на форуме NTC и что уже облетело СМИ):
Мессенджер MAX странно пробивает ваш IP. Вместо своего STUN-сервера он стучится сразу к 6 разным чекерам (3 российских, 3 зарубежных). Зачем ему это?
Всё просто: MAX проверяет доступность заблокированных Telegram и WhatsApp. Сверяя ваши IP-адреса, он палит наличие VPN и сплит-роутинга. Затем JSON-отчет со строчкой VPN: yes/no улетает на трекеры VK и Одноклассников.
Пресс-служба MAX всё отрицает (классика).
Мы получили дампы трафика еще до публикации в СМИ и пошли дальше.
Пережевывать старое — не в нашем стиле. Анализируя логи, мы нашли аномалию: шпионские проверки запускаются далеко не у всех. Разница крылась в домене http://st.max.ru. Если его нет в трафике — проверок нет.
17:47:11 — MAX открывает 8 параллельных HTTPS-соединений и выкачивает 1,06 МБ данных! Для служебной команды мегабайт — это размер книги. Приложение буквально качает тяжелый скрипт.
17:47:29 — получив этот «мегабайт», MAX послушно запускает проверки IP и запрещенки. Затем сливает собранный JSON на http://api.oneme.ru. Чтобы не спалиться, мессенджер не создает новую сессию, а хитро подмешивает отчет в свой легитимный трафик.
Главный вывод, который упустили все: http://st.max.ru — это домен удаленного управления. Сервер буквально руководит приложением в вашем смартфоне: присылает команды (что сделать, кого проверить) и форму отчета.
Поскольку эта функция запускается точечно и инициируется удаленно, мы делаем однозначный вывод — перед нами управляемый бэкдор. А выводы для себя делайте сами.
1 минута
14 марта