Autoridades chinesas usam novo malware para extrair dados de celulares apreendidos

Pesquisadores de segurança digital identificaram um novo programa malicioso utilizado por órgãos de aplicação da lei na China para coletar informações de telefones celulares que são retidos em abordagens policiais ou controles de fronteira. O software, chamado Massistant, foi analisado pela companhia de cibersegurança móvel Lookout, que publicou um relatório detalhando suas funcionalidades e sua possível disseminação pelo país.

De acordo com a Lookout, o Massistant foi desenvolvido pela empresa de tecnologia Xiamen Meiya Pico, que detém cerca de 40% do mercado chinês de ferramentas forenses digitais e foi alvo de sanções do governo dos Estados Unidos em 2021. O aplicativo opera em dispositivos Android e depende do acesso físico ao aparelho: agentes precisam que o telefone esteja desbloqueado para instalar o malware, que funciona em conjunto com um equipamento de hardware ligado a um computador desktop.

Uma vez implantado, o Massistant copia uma ampla gama de dados armazenados no dispositivo. O leque inclui mensagens de texto, conversas em aplicativos de chat como Signal, fotografias, histórico de localização, gravações de áudio, lista de contatos e outros arquivos sensíveis. A Lookout afirma que, embora não haja confirmação oficial sobre quais forças policiais utilizam a ferramenta, indícios encontrados em fóruns locais sugerem adoção extensa, o que representa risco tanto para moradores do país quanto para visitantes estrangeiros.

Relatos publicados nesses fóruns descrevem situações em que usuários descobriram o aplicativo instalado após interação com autoridades. Como a legislação chinesa concede, desde 2024, poder legal para inspeção de dispositivos sem necessidade de mandado ou investigação em andamento, viajantes que tenham seus telefones revistados são obrigados a conceder acesso. Por esse motivo, segundo especialistas, não há demanda por técnicas avançadas de invasão, como o uso de vulnerabilidades desconhecidas (zero-day); o simples consentimento forçado do proprietário é suficiente para que a cópia de dados seja realizada.

A ferramenta deixa vestígios visíveis no sistema. Em alguns casos, o Massistant aparece na lista de aplicativos, permitindo remoção manual. Quando não é exibido, ainda pode ser detectado e excluído com auxílio de utilitários como o Android Debug Bridge, que conecta o celular a um computador para inspeção. No entanto, mesmo que o usuário consiga eliminar o malware, as informações já terão sido transferidas para os servidores ou estações de trabalho controladas pelas autoridades no momento da instalação.

A Lookout apontou o Massistant como sucessor de outro produto da mesma fabricante, o MSSocket, examinado por especialistas em 2019. Embora a empresa não tenha encontrado uma versão voltada para iPhones, imagens publicadas no site da Xiamen Meiya Pico mostram aparelhos da Apple conectados ao equipamento forense, levantando a possibilidade de existência de uma variante compatível com iOS que não pôde ser analisada.

A pesquisadora Kristina Balaam, responsável pela investigação do Massistant, destacou que o ecossistema de softwares de vigilância produzidos na China inclui pelo menos 15 famílias diferentes de malware monitoradas pela Lookout. O cenário reforça a necessidade de atenção redobrada para qualquer pessoa que ingresse no país com dispositivos eletrônicos, já que a mera retenção do aparelho pode resultar em acesso irrestrito às informações pessoais contidas nele.

A Xiamen Meiya Pico não se manifestou sobre as conclusões apresentadas pela Lookout. Enquanto isso, especialistas recomendam medidas preventivas a viajantes, como usar aparelhos temporários, limitar a quantidade de dados armazenados e manter cópias de segurança em serviços externos antes de atravessar fronteiras onde o controle de dispositivos seja permitido por lei.