Недавно появившейся в мессенджер «Макс», наделал много шума. Он является достаточно спорным приложением и мне пришла в голову мысль изучить приложение и посмотреть, а настолько ли опасно оно, как о нем говорят.
Как можно познакомиться с приложением ближе, чем через его код? Тем более, что для исследования android-приложений нам не понадобятся сложные инструменты на подобии IDA или Ghidra, как это бывает с анализом исполняемых файлов.
Для анализа я использовал стандартный, для подобной задачи, набор инструментов: JADX, APKtool, VSCode ну и конечно же Android Studio, куда без него в анализе APK файлов.
Но, прежде чем лезть под капот «Макса» я установил его на эмулятор устройства и посмотрел его функционал и требуемые им разрешения. После того, как я ввел номер телефона и подтвердил его, «Макс» попросил доступ к моим контактам (Рисунок 1). Достаточно стандартное поведение для мессенджера, позволяет находить контакты из списка, зарегистрированных в «Максе»
После этого, «Макс» снова запросил доступ к контактам (рисунок 2).
Заполнив сведения о контакте, а именно имя пользователя, я решил выполнить звонок, и мессенджер сразу запросил разрешение для записи аудио (рисунок 3).
Пощупал остальной функционал, были запрошены доступ к камере, демонстрации и записи экрана (демонстрация экрана в звонке есть, а вот функционала записи я не увидел).
На первый взгляд, «Макс» представляет из себя обычный мессенджер со стандартными для такого приложения набором функций и разрешений. Но все ли так на самом деле. Давайте разбираться, пора посмотреть под капот этого приложения.
Итак, я «разобрал» приложение и приступил к его анализу. Как исследователей, нас в первую очередь интересует файл AndroidManifest.
AndroidManifest.xml — один из самых важных и интересных для исследователя файлов. Он содержит много информации, по которой можно составить представление о приложении, и даже сформировать поверхность атаки. В архиве он представлен в закодированном виде.
Итак, что же интересного я нашел? А нашлось достаточно много.
Ниже я приведу список опасных разрешений, с кодом из файла, и в некоторых местах буду вставлять свои комментарии.
· REQUEST_INSTALL_PACKAGES - может устанавливать другие приложения
· SYSTEM_ALERT_WINDOW - может показывать окна поверх других приложений
RECEIVE_BOOT_COMPLETED - автозапуск при старте системы
DISABLE_KEYGUARD - отключение блокировки экрана
USE_FULL_SCREEN_INTENT - полноэкранные уведомления
Доступ к личным данным:
READ_CONTACTS, WRITE_CONTACTS - полный доступ к контактам
ACCESS_FINE_LOCATION - точная геолокация. Постоянное отслеживание точного местоположения пользователя в реальном времени.
CAMERA - доступ к камере
RECORD_AUDIO - запись аудио
READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE - доступ к файловой системе
READ_MEDIA_IMAGES, READ_MEDIA_VIDEO - доступ к медиафайлам
READ_PHONE_NUMBERS - доступ к телефонным номерам
GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.
USE_FINGERPRINT - доступ к биометрии
Сетевые разрешения:
INTERNET - полный доступ в интернет
ACCESS_WIFI_STATE, ACCESS_NETWORK_STATE - мониторинг сети
Bluetooth разрешения - полный контроль Bluetooth
CHANGE_WIFI_STATE - изменение состояния Wi-Fi. Могут мешать работе сети, перехватывать трафик.
Подозрительные сервисы
Сервис для звонков с доступом к камере и микрофону
Сервис медиа-проекции (может записывать экран)
Опасные компоненты
LinkInterceptorActivity с возможностью перехвата deeplinks:
android:exported="true" (Критическая уязвимость). Эта активность может быть запущена извне — другим приложением на устройстве или даже из браузера по специальной ссылке.
android:excludeFromRecents="true" (Тактика скрытности). После того как пользователь завершит работу с этой активностью, она не появится в списке последних приложений (который вызывается кнопкой "Недавние").
CallNotifierFixActivity с возможностью показа на экране блокировки
Трекинг и аналитика
com.google.android.gms.permission.AD_ID - доступ к рекламному ID. Нужен для создания уникального профиля пользователя для таргетированной рекламы и трекинга между разными приложениями.
Отключено резервное копирование (allowBackup="false"). Обычные приложения разрешают бэкап, чтобы пользователь мог восстановить данные. Вредоносное приложение отключает эту функцию, чтобы усложнить исследование своего поведения и извлечение украденных данных при помощи инструментов анализа.
Включен нативный код (extractNativeLibs="false"). Указывает системе не распаковывать нативные библиотеки (.so файлы) из APK. Это может использоваться для затруднения статического анализа кода антивирусами и исследователями, так как часть логики спрятана в скомпилированных бинарниках.
Дополнительные опасные функции
DOWNLOAD_WITHOUT_NOTIFICATION - скрытые загрузки. Позволяет скачивать файлы без уведомления пользователя.
FOREGROUND_SERVICE_DATA_SYNC - фоновая синхронизация данных. Позволяет запустить foreground-сервис для "синхронизации данных". Это механизм для длительной фоновой работы под видом полезной деятельности, чтобы постоянно собирать данные.
Автозапуск: Receiver для автозапуска при включении устройства. Ресивер BootCompletedReceiver с тремя разными действиями (BOOT_COMPLETED, QUICKBOOT_POWERON) — это гарантирует, что запуск выполниться автоматически при любой возможности сразу после включения телефона, даже до его разблокировки.
Проведенный технический анализ мессенджера выявил тревожный дисбаланс между заявленным функционалом и запрашиваемым уровнем доступа к устройству и данным пользователя.
Безусловно, часть разрешений, такие как доступ к микрофону для голосовых сообщений или к камере для съемки фото, объективно необходимы для работы любого современного коммуникационного приложения. Однако нашлось и множество «спорных» возможностей, которые выходят далеко за рамки обычных возможностей мессенджера:
Возможность постоянного отслеживания точной геолокации, записи экрана (mediaProjection) и доступа к аккаунтам устройства не являются критичными для обмена сообщениями и вызывают серьезные вопросы о реальных намерениях разработчика.
Автозапуск при загрузке, скрытые загрузки, отключение резервного копирования и сложность анализа кода (extractNativeLibs="false") — это приемы, которые чаще ассоциируются с вредоносным ПО, стремящимся закрепиться в системе и скрыть свою деятельность.
В итоге, перед нами не просто мессенджер, а многофункциональный комплекс с широчайшими полномочиями. Пользователь, устанавливая это приложение, по сути, добровольно предоставляет ему ключи от всей своей цифровой жизни: от переписки и звонков до местоположения, паролей и возможности наблюдать через камеру.
Комментарии (103)
dmitrmax
09.09.2025 10:59Единственный путь - реверс-инжиниринг протокола и написание альтернативного клиента. Цель - оставить товарища майора хотя бы только на сервере и прогнать его из собственного телефона.
Melonom
09.09.2025 10:59может просто не пользоваться им?
delphinpro
09.09.2025 10:59Может и не пользоваться.
Но...
mosinnik
09.09.2025 10:59как жаль что нет такого удобного инструмента, в котором ученик может записать чтото чтобы передать родителям, а родители после ознакомления например расписывались бы. Думаю он должен был быть бумажным и не зависел от наличия ПК и смартфона с интернетом. Хотя подождите, ох блин /s
rutexd
09.09.2025 10:59Ну перенесут туда чаты школьные. А дальше? Кто то вне этих чатов пользоваться будет?
holodoz
09.09.2025 10:59Ну перенесут туда чаты домовые. А дальше? Кто то вне этих чатов пользоваться будет?
Ну перенесут туда чаты рабочие. А дальше? Кто то вне этих чатов пользоваться будет?
Ну перенесут туда чаты госуслуг. А дальше? Кто то вне этих чатов пользоваться будет?
Deepness
09.09.2025 10:59Ну те, кто имеет достаточно скудный мозг чтоб в РФ заводить детей, должны страдать.
leshakk
09.09.2025 10:59Вспоминается эпопея борьбы ICQ с альтернативными клиентами. И хотя в итоге в небытиё отправилась сама аська, но на тот момент победа была за ней - альтернативы просто не успевали за изменениями протокола. А сейчас наверное будет ещё проще, как вариант достаточно ввести проверку цифровой подписи клиента или ещё что-то подобное...
Irreversib1e
09.09.2025 10:59Пользовался RNQ и форками. Подтверждаю, что что-то ломалось крайне редко, а разработчики оперативно все фиксили. Отличное было время
zurabob
09.09.2025 10:591 Здесь уже было сравнение манифеста с вотсапом и телеграмом и особых различий не нашлось.
2. "Как исследователей, нас в первую очередь интересует файл AndroidManifest." - возможно я ошибаюсь, но все исследователи почему-то и заканчивали на этом файле.
Поскольку скорее всего придется рано или поздно ставить Макс, хотелось бы конечно действительно технического его разбора и анализа, пока же действительно выглядит просто как клон, сделанный по быстрому.
Andrey_Solomatin
09.09.2025 10:59хотелось бы конечно действительно технического его разбора и анализа
Я боюсь, что одиночный разбор не имеет смысла. С такими широкими полномочиями бэкдор может прилететь в любом обновлении.zurabob
09.09.2025 10:59Хотелось бы более внятных и верифицированных сообществом описание путей проникновения бекдора и его потенциальных возможностей. Андроид все-таки с одной стороны сильно ограничивает и следит за изоляцией, с другой - просит странные разрешения. Я когда-то пробовал на флаттере писать мелочи для работы с BLE и был очень удивлен, что для этого потребовалось разрешение на точное геопозиционирование. Возможно есть и другие странные зависимости. А есть еще и лень разрабов при дергании кусков чужого кода.
То, что ФСБ вместо АНБ будет читать мою переписку/звонки в максе меня не очень сильно волнует, важнее безопасность других данных и изоляция других приложений.
JediPhilosopher
09.09.2025 10:59Разрешение на геопозицию для работы с блютусом это боль ) Потом весь маркет заваливают гневными комментариями в духе "зачем приложению для управления кофеваркой нужна моя геолокация!?!!1717171". Гугл тут сильно свинью разработчикам подложил, поместив это разрешение в эту группу. Они это оправдывали тем, что по сканированию блютус меток можно вычислить местоположение пользователя. Но кажется в последних версиях андроида таки сдались и вынесли это в какую-то другую группу разрешений.
inkelyad
09.09.2025 10:59Они это оправдывали тем, что по сканированию блютус меток можно вычислить местоположение пользователя.
И были совершенно правы, в общем-то.
Плюс <режим конспиролога> это работает и в другую сторону - если приложению, пользующимся Bluetooth, разрешена гелокация, то оно может настоящую геолокацию спросить и тем самым помочь составить карту расположения тех самых меток.
zurabob
09.09.2025 10:59А по сканированию GSM или wifi нельзя? Но почему-то приложение телефон не требует геолокации. Правы-не правы, вопрос философский, но странные неочевидные зависимости в разрешениях не отменяет.
p07a1330
09.09.2025 10:59Поскольку скорее всего придется рано или поздно ставить Макс,
Угу, очередь в пятницу занять не забудьте. На установку
Melonom
09.09.2025 10:59Поскольку скорее всего придется рано или поздно ставить Макс
Под дулом заставят?
Wendor
09.09.2025 10:59Пока нет. Но легко представить, что через какое-то время, через него реализуют какую-нибудь авторизацию, для важного соц.сервиса и придется.
Melonom
09.09.2025 10:59можно пример важного соц сервиса без которого нельзя прям?
MadeByFather
09.09.2025 10:59Госуслуги, ФНС, Госключ
Melonom
09.09.2025 10:59В них есть вход по номеру телефона
B1GT0W3R
09.09.2025 10:59Пока что.
Melonom
09.09.2025 10:59Думаете могут убрать? И тупо отрезать кучу людей у которых нет смартфона?
inkelyad
09.09.2025 10:59Думаете могут убрать?
Лучше убрать.
И тупо отрезать кучу людей у которых нет смартфона?
'Куча людей без смартфона' - это, кажется, уже какой-то миф. Сомневаюсь, что их такая куча осталась. А у кого нет - можно в виде социальной помощи выдать что-то дешевое.
Surrogate
09.09.2025 10:59Лучше убрать.
Чем лучше и кому?
inkelyad
09.09.2025 10:59Чем лучше
Номер телефона и телефонная сеть паршивый способ аутентификации. Нормальные аппаратные токены вводить не хотят - значит, будем пользоваться тем, что встроено в чипы смартфонов.
кому?
А вот всем, кто возмущается и страдает от мошенничества при помощи 'скажите код из сообщения'
Если нет того, что можно продиктовать, а железка авторизирует в сервисе непосредственно - то и мошенникам выманивать из пользователя будет нечего.
Alonerover
09.09.2025 10:59Аппаратная песочница как вариант решения - отдельный девайс и симку под нее выделить, завернуть всё в звуконепронецаемый контейнер, и пусть себе сидят, пишут хоть аудио, хоть видео, хоть всё вместе.
Только не забывать хотя бы раз в полгода звонки совершать, чтобы коварные провы план не обломали.
inkelyad
09.09.2025 10:59можно пример важного соц сервиса без которого нельзя прям?
Официальное, юридически значимое оповещение и корреспонденция вида "вам назначен штраф". Видно же, что бумажные письма и(тем более) телефония перестают работать. Вот и сделают госмесседжер таким каналом. После чего не иметь учетки и не читать будет себе дороже.
Melonom
09.09.2025 10:59Для этого есть те же госуслуги
inkelyad
09.09.2025 10:59Для этого есть те же госуслуги
Есть, да. Но в них, вроде бы, до сих пор невозможно нормальную официальную переписку вести с разными организациями. (Или не очень очевидно, как. Да, есть Госпочта, но она какой-то демкой выглядит, а не полноценным сервисом).
У и нечто, на что народ быстрее реагирует, государству тоже хочется иметь. И при выборе "заглядывать в Госуслуги каждый день"/"иметь на телефоне приложение Госуслуги", госсмесседжер выглядит все-таки предпочтительней. Если в него не будут тащить все, что Госуслуги могут, понятное дело.
Melonom
09.09.2025 10:59Вы так часто ведёте переписки с гос учреждениями что вам аж целый менеджер нужен?
inkelyad
09.09.2025 10:59Вы так часто ведёте переписки с гос учреждениями что вам аж целый менеджер нужен?
А не только с гос. Когда какой-нибудь представитель банка (или другой организации) мне чего-то писать пытается - хочется чтобы это было с 'дата, печать, подпись, номер исходящего'. Т.е. саму по себе идею госмесседжера для всякой официальной переписки я скорее одобряю. Но вот в каком виде его делать пытаются - это чистое издевательство.
ru1z
09.09.2025 10:59Чем обычнейшие госуслуги и обычнейшие письма хуже (или разные приложения банков и т.д.)? Ну а если прямо нужна завязать все на госмонополию, то пусть банки с госуслугами сами связываются, они и так несвободны. Имхо, если будет связка только с госуслугами, то и вероятных точек утечки меньше, в отличие от предлагаемого сейчас убогого подхода, где зачем-то сторонняя убыточная коммерческая компания подключается, да еще предлагается смешивать частные переписки с важными делами без особой защиты последних. Для чего городить махинаторство в каждый дом?
inkelyad
09.09.2025 10:59предлагаемого сейчас убогого подхода, где зачем-то сторонняя убыточная коммерческая компания подключается, да еще предлагается смешивать частные переписки с важными делами без особой защиты последних.
Так и я про тоже.
Госмесседжер как дополнительное приложение к сайту Госуслуг - нормально и выглядит адекватно.
А вот то что делают, через какую-то странную схему с коммерческой компанией - издевательство. УЭК в свое время так же убили, когда не делали ее как отдельное мероприятие, а пытались все сделать через банки и сделать ее еще и платежной картой.
Surrogate
09.09.2025 10:59Госмесседжер как дополнительное приложение к сайту Госуслуг - нормально и выглядит адекватно.
Не все так часто взаимодействуют с сайтом ГосУслуг. Но зачем в этот скородельный Госмессенджер загонять всех? Блокируя нормально работающие мессенджеры!
ru1z
09.09.2025 10:59то что делают, через какую-то странную схему с коммерческой компанией - издевательство.
Да, в этом смысле очень странно.
Хотя, в любом случае, я бы не хотел связывать абсолютно всё с одной точкой отказа. Лучше иметь несколько альтернатив, не связанных с государством, и не ставить всё на одну карту. А сейчас получается, что практически всё приходится связывать с какими-то совершенно «левыми» госкомпаниями, где непонятно, кто будет работать и непонятно как контролировать потом возникающие проблемы.
zurabob
09.09.2025 10:59Есть хороший анекдот про "добровольно и с песней". Я уже конформист и если накопится некая критическая масса людей с которыми намного удобней общаться в максе, нежели другими способами, то поставлю на основной телефон или запасной в зависимости от массива информации о его незапланированных возможностях. Полагаю и вы прекрасно это понимаете и возможно его поставите и без дула.
Abyss777
09.09.2025 10:59Нет, просто например учитель вашего первокласника будет сбрасывать домашку и расписание только в него.
Melonom
09.09.2025 10:59Расписание и домашка находятся в отдельном приложении
mih-kopylov
09.09.2025 10:59Для начальной школы действительно скидывали сначала в телеге, в прошлом году в Сферуме, в этом на мах переходят.
Не во всех школах, конечно, но в некоторых уже, а остальные тоже подтянутся, вопрос времени.
Mishootk
09.09.2025 10:59Вот интересный организационный вопрос. В доисторические времена домашка - это то что было записано в бумажный дневник. Учителя могли при проверке дневника проверить и записи домашек. И у меня до сих пор твердое убеждение - домашка актуальна только та, которая появилась у ученика сразу после урока. Ибо есть стратегия обучения - выполнять ДЗ в тот же день (например, на продленке). У ученика нет обязанности иметь смартфон, домашний компьютер. Как и у его родителей. Если урок требует выполнения на компьютере, в школе есть часы внеурочных посещений компьютерных классов для этих работ.
Мы сопротивляемся насильному внедрению альтернативного ПО. Но покорно соглашаемся с навязыванием недоразвитого "электронного документооборота" в учебном процессе.
zurabob
09.09.2025 10:59Учитель иногда просто говорит, что домашку смотрите в едневнике после уроков, иногда записывает сразу на доске. Если на продленке в младших классах, то учитель продленки смотрит в комп и говорит, что сделать. Лет 10 назад, когда это только начиналось, были ученики без компов, их родители звонили другим родителям. Можете не покорно соглашаться и идти против системы, но обычно, когда дело касается твоих маленьких детей, особого желания из-за не столь принципиальных вещей идти на конфликт нет.
Mishootk
09.09.2025 10:59Пойти против системы - это учиться на 5 (т.е. быть готовым к уроку, отвечать у доски, выучивать пройденные темы, контроши и проверочные писать без ошибок), но напрочь игнорировать (не предьявлять сделанную) домашку, которая не была задана на уроке. Но для этого нужно сознание чуть более чем ребенка и поддержка родителей.
Я нахожу плюс в том, что идет такая неразбериха с каналами записи домашки, опозданиями с заданиями и т.п. - ребенок заранее подготавливается к сюрпризам реальной жизни, когда не все и не всегда целиком и вовремя.
Melonom
09.09.2025 10:59Я хз про какие вы школы, в московской области все школы используют приложение Моя школа, и в нем есть всё. Нам никогда не скидывали ничего в телегу или вацап
staffel
Не разбирали ли подобным образом последние версии официальных клиентов WhatsApp и Telegram?
Hopenolis
Зачем? Макс - клон телеграма из которого специально было вырезано шифрование что бы гебня могла следить за людьми. Его можно вообще не проверять, он специально создан для компрометации юзеров.
achekalin
Ой, кажется, Вы не правы!
Честно говоря, сказанное даже было бы хорошо (в смысле копии телеги), но нет, там пож капотом другое поделие.
Kenya-West
Ага, там ТамТам. Причём сам ТамТам вроде бы даже жив до сих пор, судя по его обновлению ServiceWorker на моем смартфоне в виде PWA.
greenkey
чтобы вы стали интересны "гебне", нужно начать хотя бы наркоту продавать промышленными масштабами. ну или оружием приторговывать, или взрывчаткой.
mih-kopylov
Опасное заблуждение
Ded_Banzai
Так точно, тащ майор! Верим на слово.