Các nhà nghiên cứu an ninh mạng tại Lookout Threat Lab đã phát hiện ra Massistant, một ứng dụng pháp y di động tinh vi được triển khai bởi các cơ quan thực thi pháp luật Trung Quốc. Công cụ này được thiết kế để trích xuất dữ liệu toàn diện từ các thiết bị di động bị tịch thu. Massistant đại diện cho một bước phát triển đáng kể từ phiên bản tiền nhiệm của nó, MFSocket, khi tích hợp các khả năng nâng cao nhằm vượt qua các biện pháp bảo mật của thiết bị và thu thập thông tin nhạy cảm. Việc phát hiện này đặt ra những lo ngại nghiêm trọng về an ninh đối với các doanh nhân du lịch quốc tế và các tổ chức doanh nghiệp, đặc biệt khi các nhà chức trách Trung Quốc đã mở rộng khả năng giám sát kỹ thuật số theo luật mới được Bộ An ninh Quốc gia ban hành vào năm 2024, cho phép thu thập và phân tích thiết bị mà không cần lệnh khám xét.
Massistant: Ứng Dụng Pháp Y Di Động Tinh Vi Của Trung Quốc
Massistant hoạt động như một thành phần phía máy khách (client-side component) trong hệ sinh thái pháp y Mobile Master rộng lớn hơn của Meiya Pico. Ứng dụng này thiết lập liên lạc với phần mềm pháp y trên máy tính để bàn thông qua cổng localhost 10102, giống hệt với phiên bản tiền nhiệm MFSocket. Điều này cho thấy một kiến trúc kết nối đã được thiết lập và kiểm chứng trong các hoạt động pháp y kỹ thuật số. Ứng dụng này yêu cầu quyền truy cập vật lý vào thiết bị để cài đặt và chưa bao giờ được phân phối qua các kênh chính thức như Google Play Store, điều này chứng tỏ việc sử dụng độc quyền của nó bởi các nhân viên thực thi pháp luật được ủy quyền. Điều này làm nổi bật tính chất bí mật và chuyên dụng của công cụ.
Khả Năng Thu Thập Dữ Liệu và Yêu Cầu Quyền Hạn
Sự tinh vi về mặt kỹ thuật của Massistant không chỉ dừng lại ở việc trích xuất dữ liệu đơn thuần. Ngay sau khi cài đặt, Massistant yêu cầu các quyền hạn mở rộng để truy cập các loại dữ liệu nhạy cảm trên thiết bị, bao gồm:
- Dữ liệu vị trí GPS
- Tin nhắn SMS
- Hình ảnh
- Tệp âm thanh
- Danh bạ điện thoại
- Dịch vụ điện thoại
- Nội dung từ các ứng dụng nhắn tin
Phạm vi dữ liệu này cho phép thu thập hồ sơ toàn diện về hoạt động và thông tin cá nhân của người dùng. Ứng dụng này hỗ trợ đa ngôn ngữ, nhưng chỉ giới hạn ở tiếng Trung giản thể và tiếng Anh Mỹ, điều này gợi ý rằng các mục tiêu triển khai chính của nó bao gồm cả người dùng trong nước Trung Quốc và du khách quốc tế.
Các Kỹ Thuật Vượt Qua Bảo Mật và Tính Bền Bỉ
Một tiến bộ quan trọng trong Massistant là việc triển khai Accessibility Services thông qua các lớp được nhà phát triển định danh là “AutoClick”. Chức năng này được thiết kế để tự động vượt qua các lời nhắc bảo mật từ các ứng dụng bảo vệ thiết bị. Khả năng này cho phép công cụ bỏ qua các biện pháp bảo mật trong các ứng dụng như Miui Security Center, tự động cấp các quyền cần thiết mà không cần sự can thiệp của người dùng. Điều này đặc biệt đáng lo ngại vì nó cho phép công cụ hoạt động mà không bị người dùng phát hiện hoặc bị cản trở bởi các lớp bảo mật tiêu chuẩn của hệ điều hành.
Khi người dùng cố gắng thoát khỏi ứng dụng, họ sẽ nhận được thông báo cho biết công cụ đang ở chế độ “get data”, ngăn chặn hiệu quả việc chấm dứt trong quá trình hoạt động pháp y tích cực. Cơ chế này đảm bảo rằng quá trình trích xuất dữ liệu không bị gián đoạn và thông tin nhạy cảm được thu thập hoàn toàn trước khi thiết bị được trả lại hoặc bị tắt nguồn.
Phiên Bản Nâng Cấp và Khả Năng Mở Rộng
Phiên bản mới nhất của Massistant, 8.5.7, giới thiệu khả năng kết nối không dây thông qua Android Debug Bridge (ADB) over WiFi. Tính năng này cho phép các hoạt động pháp y được thực hiện từ xa mà không cần kết nối USB vật lý liên tục, tăng cường tính linh hoạt và khả năng che giấu của công cụ. Ngoài ra, phiên bản 8.5.7 còn có khả năng tải xuống các tệp bổ sung vào các thiết bị bị xâm nhập thông qua thư viện gốc libNativeUtil.so. Khả năng này có thể được sử dụng để triển khai các mô-đun bổ sung, cập nhật công cụ hoặc thậm chí cài đặt các mô-đun giám sát dai dẳng, như đã được báo cáo trong một số trường hợp, nơi các mô-đun giám sát tiếp tục theo dõi hoạt động ngay cả sau khi thiết bị được trả về cho chủ sở hữu.
Bối Cảnh Phát Triển và Tác Động Chiến Lược
Nguồn Gốc từ Xiamen Meiya Pico
Sự phát triển của Massistant có thể bắt nguồn từ Xiamen Meiya Pico Information Co., Ltd., một công ty công nghệ Trung Quốc được niêm yết công khai, kiểm soát khoảng 40% thị phần pháp y kỹ thuật số tại Trung Quốc đại lục. Công ty này đã trải qua quá trình tái cấu trúc doanh nghiệp vào tháng 12 năm 2023, đổi tên thành SDIC Intelligence Xiamen Information Co., Ltd., mặc dù các chứng chỉ ký cho cả MFSocket và Massistant vẫn tiếp tục tham chiếu đến tên gọi ban đầu là Meiya Pico. Điều này cho thấy sự liên tục trong nhận dạng sản phẩm và trách nhiệm phát triển.
Công ty Meiya Pico có phạm vi tiếp cận quốc tế vượt ra ngoài biên giới Trung Quốc, với các quan hệ đối tác đã được ghi nhận bao gồm các hợp đồng quân sự với Nga cho thiết bị pháp y và các chương trình đào tạo cho các quốc gia thuộc Sáng kiến Vành đai và Con đường (Belt & Road Initiative). Tuy nhiên, công ty này đã phải đối mặt với các lệnh trừng phạt từ Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Hoa Kỳ vào năm 2021 theo chương trình Trừng phạt các Công ty Quân sự Trung Quốc, phản ánh mối quan ngại quốc tế ngày càng tăng về khả năng giám sát của công ty.
Lịch Sử và Sự Tiến Hóa từ MFSocket
Công cụ pháp y này lần đầu tiên xuất hiện sau các báo cáo của nhà báo Trung Quốc Muyi Xiao vào tháng 6 năm 2019, người đã ghi lại việc cư dân mạng Trung Quốc phát hiện các cài đặt MFSocket trên thiết bị của họ sau các cuộc chạm trán với cảnh sát. Nhà nghiên cứu an ninh mạng Baptiste Robert sau đó đã xác nhận sự tham gia của Meiya Pico thông qua phân tích các chứng chỉ ký. Các diễn đàn hỏi đáp của Trung Quốc từ giữa năm 2020 chứa các báo cáo của người dùng về việc cài đặt Massistant, cho thấy việc triển khai công cụ này như một sự thay thế cho MFSocket trùng hợp với việc nâng cấp dòng sản phẩm của Meiya Pico từ phiên bản V2 lên V3 của các hệ thống pháp y DC-4501, DC-4700 và FL-900 của họ. Điều này chứng tỏ Massistant là một phần của chiến lược nâng cấp sản phẩm và công nghệ tổng thể của công ty.
Dấu Hiệu Nhận Biết và Chỉ Số Đe Dọa (IOC)
Cơ Chế Tự Hủy và Khả Năng Phát Hiện
Một khía cạnh đáng chú ý của Massistant là cơ chế tự hủy tinh vi của nó, sử dụng USBBroadcastReceiver. Cơ chế này cố gắng tự động gỡ cài đặt ứng dụng khi thiết bị bị ngắt kết nối khỏi USB. Mục đích là để xóa dấu vết của công cụ và giảm thiểu khả năng bị phát hiện. Tuy nhiên, các báo cáo trên diễn đàn cho thấy thỉnh thoảng cơ chế này thất bại, dẫn đến việc người dùng phát hiện ra sự hiện diện của ứng dụng. Những trường hợp thất bại này cung cấp bằng chứng trực tiếp về việc công cụ đã từng được cài đặt và hoạt động trên thiết bị.
Chỉ Số Thỏa Hiệp Đối Với Doanh Nghiệp
Đối với các đội an ninh doanh nghiệp, sự tồn tại của Massistant trên các thiết bị được trả về là một chỉ số rõ ràng về sự thỏa hiệp pháp y, ngay cả khi công cụ đã tự gỡ bỏ thành công. Điều này rất quan trọng để hiểu rằng mục tiêu của Massistant là thu thập dữ liệu nhạy cảm, và ngay cả khi ứng dụng không còn trên thiết bị, việc nó từng hiện diện đã đủ để xác nhận rằng dữ liệu đã bị trích xuất. Việc phát hiện các dấu vết còn sót lại hoặc các báo cáo về hành vi bất thường sau khi thiết bị được trả lại cần được xem xét nghiêm túc như một chỉ số thỏa hiệp. Các tổ chức cần thiết lập các quy trình kiểm tra pháp y kỹ lưỡng đối với các thiết bị thuộc về nhân viên du lịch, đặc biệt là sau khi họ trở về từ các khu vực có nguy cơ cao.
Chỉ số thỏa hiệp (IOC):
- Sự hiện diện của ứng dụng Massistant hoặc các tệp liên quan trên thiết bị di động.
- Các dấu vết của cài đặt hoặc hoạt động của Massistant sau khi thiết bị được trả về (ngay cả khi công cụ đã tự gỡ cài đặt).
- Bất kỳ báo cáo nào về việc thiết bị tự ý cấp quyền hoặc có hành vi bất thường, đặc biệt là sau khi tiếp xúc với các cơ quan thực thi pháp luật.
- Sự tồn tại của các mô-đun giám sát dai dẳng (persistent surveillance modules) được cài đặt bởi Massistant (đặc biệt là thông qua libNativeUtil.so) tiếp tục theo dõi hoạt động sau khi thiết bị được trả lại.
- Liên lạc với localhost port 10102 từ thiết bị (mặc dù chỉ xảy ra khi Massistant đang hoạt động).
