Emergiendo a mediados de 2023 como un aparente sucesor del famoso MFSocket de Meiya Pico, la recién identificada aplicación de Android Massistant ha comenzado a surgir en teléfonos confiscados en los puntos de control fronterizos chinos y las estaciones de policía.
A diferencia del spyware convencional que se basa en la entrega remota encubierta, Massistant se instala físicamente cuando un dispositivo está bajo custodia oficial, luego se combina con una estación de trabajo “Mobile Master” Meiya Pico para llevar a cabo un volcado forense de alta velocidad.
Los viajeros informan que encontrar el ícono desconocido solo después de que se devuelven sus teléfonos, mientras que los analistas forenses han rastreado cada variante a un certificado de firma perteneciente a Xiamen Meiya Pico Information Co., Ltd., una empresa que ahora cambió de marca como inteligencia SDIC, pero aún controla aproximadamente el 40% del mercado digital-forense de China.
Analistas de observación anotado La restricción deliberada del malware a los canales de carga lateral en lugar de Google Play, asegurando que evadga la investigación de investigación automatizada del mercado. Una vez lanzado, inmediatamente solicita permisos de grano fino para GPS, SMS, rollo de cámara, micrófono, contactos y telefonía, periféricos que un oficial uniformado puede otorgar fácilmente durante la breve ventana de inspección.
Massistant luego abre un servicio local en TCP/10102 y espera a que el cliente de escritorio reenvíe los comandos de Android Depug Bridge (ADB) en todo el enlace USB, cosechando particiones de datos en minutos.
El icono masivo (superior) y el icono de mfsocket (inferior) se ve idéntico (fuente – vigilando)
Esto ilustra los iconos de lanzador idénticos reutilizados de MFSocket, subrayando el linaje de base de código confirmado por los nombres de paquetes compartidos y un archivo XML interno literalmente titulado “Mfsocket.xml”.
Las estructuras de paquetes MFSocket (arriba) y masiva (inferior) son similares, con paquetes adicionales agregados para el Ettuge más robusto de Massistant (fuente – Lookout)
Mientras esto captura las huellas de paquetes del apretón de manos local que une el teléfono y la estación de trabajo.
A diferencia del malware de los productos básicos que se mantiene residente para el espionaje continuo, los intentos masivos de borrar su huella en el momento en que se elimina el cable USB.
Un USBBRoadCastreceiver especialmente diseñado escucha el evento de desconexión y desinstala silenciosamente el APK; Sin embargo, las fallas anecdóticas de este auto-lavado revelan la herramienta a los usuarios finales y les dieron a los investigadores un tesoro de muestras a ingeniería inversa.
// La rutina automotriz extraída de V8.5.7 clase pública USBBRoadCastreceiver extiende BroadCastreceiver {public void onRECeive (context ctx, intent i) {if (intent.action_usb_device_detached.equals (igetaction ()) {ctx.getpackagemanger (). ComponentName (CTX, getClass ()), PackageManager.component_enabled_state_disabled, packagemanager.dont_kill_app); Runtime.getRuntime (). Exec (“PM Uninstall com.meyapico.massistant”); }}}
Mecanismo de infección y automatización ADB
La evolución más llamativa de Massistant es un servicio de accesibilidad “autoclick” que descarta los diálogos de seguridad automáticamente, garantizando subvenciones de permiso incluso en ROM endurecidas como Miui.
La biblioteca nativa libnativeUTIl. Expone aún más una puerta trasera ADB sobre Wi-Fi: una vez que la computadora portátil forense se autentica sobre USB, puede cambiar a la interfaz WLAN del dispositivo, copiar binarios auxiliares y continuar sin embargo.
Durante las pruebas de laboratorio, los investigadores de Lookout identificaron comandos de shell codificados (setprop service.adb.tcp.port 5555 seguido de stop adbd && start adbd) que reabrieron ADB en modo TCP, una característica anunciada en silencio en el sitio comercial de Meiya Pico como una actualización de 2024 “Serie maestra”.
La combinación de instalación de USB, bypass de accesibilidad y sesiones transitorias ADB sobre Wi-Fi permite a los investigadores volcar mensajes de señal, telegrama y letstalk, incluso cuando esas aplicaciones encriptan el almacenamiento local, antes de fregar el implante forense.
Para los equipos de seguridad corporativa, el hallazgo subraya la importancia de las políticas de “modo de viaje” que deshabilitan la depuración USB, aplican un fuerte cifrado de dispositivos y realizan escaneos de integridad posteriores a la tripa capaces de detectar artefactos residuales como el mfsocket.xml perdido o los extractos de sqlite en caché que las masas de masas ocasionalmente dejan atrás.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
