Lookoutは、中国の法執行機関がモバイルデバイスから情報を収集するために使用しているモバイルフォレンジックツール「Massistant」に関する技術情報を公開しました。
このアプリケーションは、2019年に解析されたツール「MFSocket」の後継と考えられており、同様の目的で中国の警察によって使用されていました。
両アプリケーションともインストールにはデバイスへの物理的なアクセスが必要であり、中国の監視専門企業「Xiamen Meiya Pico Information」によって開発されています。同社は2021年12月に米国政府から制裁を受けています。
MFSocketが排除され解析された2019年から2023年の間に、LookoutはMeiya Picoに関連するAndroid証明書で署名された複数のMassistantサンプルを収集しました。新しいツールに言及するフォーラム投稿と合わせて、MassistantがMFSocketの代替であることを示唆しています。
両ツールはデスクトップのフォレンジックソフトウェアと連携してモバイルデバイスから情報を取得し、ポートフォワーディングサービスを介して接続を確立するようです。
Lookoutによると、これらのフォレンジックツールは、関心のある個人(海外出張中の経営者や従業員を含む)から押収したデバイスから機密データを収集するために法執行機関によって使用されています。
「場合によっては、法執行機関によって押収され返却されたデバイス上に、持続的かつヘッドレスな監視モジュールが発見されており、デバイスが返却された後もモバイルデバイスの活動が監視され続けることがあります」とモバイルセキュリティ企業は指摘しています。
実行時、Massistantは電話サービス、連絡先、SMSメッセージ、画像、音声、GPS位置情報へのアクセスを要求します。その後、他のユーザー操作は不要となり、アプリケーションは「データ取得」モードに入ります。
広告。スクロールして続きをお読みください。
MassistantとMFSocketは類似したコマンドを含み、同じアイコンを持ち、機能も共通しています。さらに、両者のコードは大部分が重複しており、USB接続が解除された際に自動的にアンインストールする機能も備えていますが、この動作は複数のケースで失敗しています。
Lookoutによると、Massistantはデスクトップの対応ソフトウェアがなければデバイスデータを外部に送信できないようですが、「デバイス上に存在し、ログの詳細やデータファイルが残っていれば、押収された場合にデバイス所有者はモバイルデータが侵害されたことを示す証拠となります」。
新しいモバイルフォレンジックユーティリティには、特定のセキュリティソフトウェアの条件を自動的に回避する機能、Wi-Fi経由でAndroid Debug Bridgeを利用して接続し追加ファイルを取得する機能、Letstalk、Signal、Telegramのメッセージアプリからデータを収集する機能も含まれています。
Meiya Picoは2023年12月に「SDIC Intelligence Xiamen Information」へ社名を変更し、国内外の法執行製品展示会への参加を積極的にアピールしていました。また、ロシア軍情報機関にフォレンジックおよび監視製品を販売したと報じられています。
「中国本土への渡航や国内移動には、観光客、ビジネス渡航者、関心人物が国家警察による合法的な傍受施策の一環として機密モバイルデータを取得される可能性が伴います」とLookoutは指摘しています。
関連記事: 中国のSalt Typhoonが米国州兵をハッキング
関連記事: TikTok、中国へのデータ転送で欧州の新たなプライバシー調査に直面
翻訳元: https://www.securityweek.com/mobile-forensics-tool-used-by-chinese-law-enforcement-dissected/