Цзинван Вэйши
Jingwang Weishi ( кит .净网卫士; букв. «Clean Net Guardian») — мобильное приложение для управления контентом , разработанное Shanghai Landasoft Data Technology Inc. [1] . Оно известно тем, что используется полицией Синьцзяна , Китай . [2] [3]
При первой установке приложение отправляет запрос на базовый сервер. Сервер отвечает объектом JSON, содержащим список хэшей MD5, которые программа сохраняет в локальной базе данных SQLite . [1]
Приложение записывает «основную информацию», как это называется в коде программы, о своем устройстве. В частности, основная информация состоит из номера международного идентификатора мобильного оборудования (IMEI), MAC-адреса , производителя, модели, номера телефона и международного номера идентификатора мобильного абонента (IMSI). [1]
Jingwang Weishi также выполняет сканирование файлов на устройстве. Он ищет файлы с расширениями 3GP , AMR , AVI , WEBM , FLV , IVX, M4A , MP3 , MP4 , MPG , RMVB , RAM , WMA , WMV , TXT , HTML , CHM , PNG и JPG . Затем он записывает определенные метаданные для каждого файла, состоящие из имени каждого файла, пути, размера, хэша MD5 и хэша MD5 хэша MD5. [1]После сканирования программа сравнивает хэши MD5 файлов с базой хэшей, полученной от базового сервера. Любые соответствующие файлы считаются «опасными». Пользователю предоставляется список «опасных» файлов [1] и предлагается удалить их. [3] [4] Если пользователь нажимает правую нижнюю кнопку, снимок экрана со списком сохраняется в галерее изображений устройства в формате гггг-мм-дд_ЧЧ-мм-сс.jpg. [1]
Приложение загружает данные устройства, сжимая два файла с именами jbxx.txt и files.txt в ZIP-файл с именем JWWS.zip. Файл jbxx.txt содержит «основную информацию» об устройстве. Файл files.txt содержит метаданные «опасных» файлов, обнаруженных на устройстве пользователя. Если ни один файл не был признан «опасным», файлы files.txt не будут отправлены. [1]
Группа аналитиков не обнаружила встроенных в приложение бэкдоров . Однако при установке он запрашивает разрешения, которые могут быть использованы злонамеренно в будущих обновлениях. Среди других разрешений он запрашивает возможность запускаться сразу после завершения загрузки системы. Это разрешение не используется приложением, поскольку оно выполняет свои функции только тогда, когда оно находится в основном представлении. Однако будущие обновления могут позволить ему запускать и начинать сканирование устройства пользователя сразу после завершения загрузки, не зная об этом пользователя. [1]
