Из одной запрещённой сети: [Пишут тут...] Мы нашли модуль удаленного управления в мессенджере MAX. https://x.com/vpn_liberty/status/2032360479608254700 Слухи о том, что это приложение — троян, ходили давно. Но фактуры о наличии шпионских функций практически не было, только косвенные указания. Сначала контекст (то, что раскопали на форуме NTC и что уже облетело СМИ): Мессенджер MAX странно пробивает ваш IP. Вместо своего STUN-сервера он стучится сразу к 6 разным чекерам (3 российских, 3 зарубежных). Зачем ему это? Всё просто: MAX проверяет доступность заблокированных Telegram и WhatsApp. Сверяя ваши IP-адреса, он палит наличие VPN и сплит-роутинга. Затем JSON-отчет со строчкой VPN: yes/no улетает на трекеры VK и Одноклассников. Пресс-служба MAX всё отрицает (классика). Мы получили дампы трафика еще до публикации в СМИ и пошли дальше. Пережевывать старое — не в нашем стиле. Анализируя логи, мы нашли аномалию: шпионские проверки запускаются далеко не у всех. Разница крылась в домене http://st.max.ru. Если его нет в трафике — проверок нет. 17:46:54 — уходит крошечный запрос (8 КБ) к http://st.max.ru. 17:47:11 — MAX открывает 8 параллельных HTTPS-соединений и выкачивает 1,06 МБ данных! Для служебной команды мегабайт — это размер книги. Приложение буквально качает тяжелый скрипт. 17:47:29 — получив этот «мегабайт», MAX послушно запускает проверки IP и запрещенки. Затем сливает собранный JSON на http://api.oneme.ru. Чтобы не спалиться, мессенджер не создает новую сессию, а хитро подмешивает отчет в свой легитимный трафик. Главный вывод, который упустили все: http://st.max.ru — это домен удаленного управления. Сервер буквально руководит приложением в вашем смартфоне: присылает команды (что сделать, кого проверить) и форму отчета. Поскольку эта функция запускается точечно и инициируется удаленно, мы делаем однозначный вывод — перед нами управляемый бэкдор. А выводы для себя делайте сами.
1 неделю назад