Комплексный анализ конфиденциальности и поведения Android-приложения MAX Messenger (ru.oneme.app). Анализ в песочнице, обзор пользовательского соглашения и оценка политики конфиденциальности.
СТАТУС ОТЧЕТА: ПРЕДВАРИТЕЛЬНЫЙ — Данный отчет еще не завершен. YonSeSecurity планирует лично реверсить код приложения и детально рассмотреть каждый угол кода, чтобы узнать что оно делает на самом деле.
ru.oneme.app (ранее экосистема VK/Одноклассники).Государственный мессенджер с чрезмерными разрешениями, агрессивным сбором данных, обнаружением root-доступа, мониторингом буфера обмена и ненадежными подписантами кода. Аварийно завершается в защищенных средах ОС.
MAX (ранее VK Messenger / ICQ New) — российский государственный мессенджер, позиционируемый как замена Telegram и WhatsApp в Российской Федерации.
Разработан ООО "МАКС" (структура экосистемы Mail.ru / VK), глубоко интегрирован с государственными информационными системами (ГИС) России, включая Госуслуги (портал государственных услуг), ЕСИА (единая аутентификация) и предоставляет функциональность "Цифрового удостоверения" для верификации юридических документов. Правовая основа построена на Федеральном законе No 156-ФЗ от 24 июня 2025 года.
1. Обнаружение Root / Jailbreak. Приложение активно проверяет наличие бинарных файлов su по 9 различным путям (/system/xbin/su, /sbin/su, /data/local/su и др.) и ищет Superuser.apk. Это означает, что приложение определяет уровень защищенности вашего устройства.
2. Мониторинг буфера обмена. Регистрирует PrimaryClipChangedListener — перехватывает все, что вы копируете в буфер обмена: пароли, криптоадреса, коды 2FA, банковские данные. Помечено песочницей как credential_access и collection.
3. Сбор контактов. Читает полный список контактов через content://com.android.contacts/contacts. Политика конфиденциальности подтверждает, что эти данные хранятся на серверах в Российской Федерации.
4. Доступ к фотографиям. Читает фотографии через content://media/external/images/media без явного взаимодействия с пользователем во время выполнения в песочнице.
5. Динамическая загрузка кода. Загружает сброшенные DEX/JAR-файлы во время выполнения (androidx.window.sidecar.jar), классическая техника обхода защиты, позволяющая выполнять произвольный код после установки.
6. Ненадежные подписанты кода. APK подписан ненадежными сертификатами подписи кода, что означает невозможность независимой проверки подлинности через стандартные цепочки сертификатов.
7. Снятие отпечатка устройства. Читает /proc/cpuinfo, /proc/meminfo, оператора сети, тип активной сети — создает комплексный отпечаток устройства.
8. Запланированное выполнение. Использует JobScheduler для закрепления в системе — задачи выполняются даже при закрытом приложении.
Эмуляция Android 15: MAX аварийно завершается при эмуляции Android 15. На Android 11 работает без проблем. Это свидетельствует о том, что приложение использует устаревшие API или зависит от поведения, ограниченного в новых версиях Android.
GrapheneOS: На защищенной операционной системе GrapheneOS приложение MAX отказывается запускаться без ослабления профиля безопасности ОС. Это серьезный тревожный сигнал — легитимные приложения не требуют от пользователей отключения функций безопасности. Это убедительно свидетельствует о том, что приложение зависит от поведения, которое защищенные среды безопасности явно блокируют (обход обнаружения root-доступа, неограниченная интроспекция процессов или эксплуатация стандартных цепочек доверия Android).
Приложение связывается со следующей российской инфраструктурой:
api.oneme.ru — основной API (несколько RU IP: 155.212.204.194, 155.212.204.90, 155.212.204.140, 155.212.204.150)
sdk-api.apptracer.ru — SDK телеметрии/аналитики (5.101.40.41) — 15+ подключений за одну сессию
tracker-api.vk-analytics.ru — трекер аналитики VK (90.156.232.26)
help.max.ru, legal.max.ru — страницы поддержки и юридической информации
edgedl.me.gvt1.com — edge-доставка Google
Дополнительно: chrome.cloudflare-dns.com (8 подключений), update.googleapis.com, notifications-pa.googleapis.com, remoteprovisioniong.googleapis.com
Если вы цените свою конфиденциальность: Не устанавливайте MAX. Используйте мессенджеры со сквозным шифрованием и проверяемым открытым исходным кодом (Signal и т.д.).
Если вы вынуждены его использовать: Запускайте его в рабочем профиле или на отдельном устройстве. Не предоставляйте доступ к контактам, камере, микрофону и хранилищу. Помните, что все, что вы копируете в буфер обмена, перехватывается.
Для организаций: MAX следует рассматривать как потенциальный инструмент слежки. Все данные, проходящие через него, следует считать доступными оператору (ООО "МАКС") и, как следствие, российским государственным органам в соответствии с Федеральным законом No 152-ФЗ.
| Свойство | Значение |
|---|---|
| Имя файла | MAX_(RS)_v.26.9.1(6643)(8.0-16.0)(arm7a,arm64-8a,x86,x86-64).apk |
| Имя пакета | ru.oneme.app |
| Версия | 26.9.1 (build 6643) |
| Min SDK / Target | Android 8.0 – 16.0 |
| Архитектуры | arm7a, arm64-8a, x86, x86-64 |
| Размер файла | 127.5 МБ |
| SHA256 | 41d5342b18a8046e9b1a25c76ca33a05a91db43c02db80523bb399c76644512d |
| Песочница | Recorded Future (Triage) |
| ID образца | 260324-x9ck1sgv7m |
| Дата анализа | 2026-03-24 19:36 |
| Уровень угрозы | Вероятно вредоносное |
| Оценка | 8 / 10 |
Следующие разрешения были отмечены как опасные при статическом анализе в песочнице. Каждое из них предоставляет приложению возможности, далеко выходящие за рамки базовой функциональности мессенджера.
| Разрешение | Риск | Что позволяет |
|---|---|---|
| SYSTEM_ALERT_WINDOW | Критический | Рисовать оверлеи поверх всех приложений — может использоваться для tapjacking, фишинга или сокрытия действий |
| REQUEST_INSTALL_PACKAGES | Критический | Тихо устанавливать другие APK — может загружать дополнительное ПО без согласия пользователя |
| CAMERA | Высокий | Делать фото и видео в любое время |
| RECORD_AUDIO | Высокий | Записывать звук через микрофон в любое время |
| ACCESS_FINE_LOCATION | Высокий | Точное отслеживание местоположения по GPS |
| ACCESS_COARSE_LOCATION | Высокий | Приблизительное местоположение через вышки сотовой связи / Wi-Fi |
| READ_CONTACTS | Высокий | Чтение всех контактов на устройстве |
| WRITE_CONTACTS | Высокий | Изменение или добавление контактов на устройстве |
| READ_EXTERNAL_STORAGE | Высокий | Чтение всех файлов на внешнем хранилище |
| WRITE_EXTERNAL_STORAGE | Высокий | Запись/изменение любого файла на внешнем хранилище |
| READ_MEDIA_IMAGES | Высокий | Чтение всех фотографий на устройстве |
| READ_MEDIA_VIDEO | Высокий | Чтение всех видео на устройстве |
| BLUETOOTH_CONNECT | Средний | Подключение к сопряженным Bluetooth-устройствам |
| POST_NOTIFICATIONS | Средний | Показ уведомлений (может использоваться для социальной инженерии) |
14 опасных разрешений для мессенджера — это чрезмерно. SYSTEM_ALERT_WINDOW и REQUEST_INSTALL_PACKAGES вызывают особую тревогу — легитимное приложение для обмена сообщениями не должно нуждаться в рисовании поверх других приложений или установке дополнительного ПО.
Приложение проверяет 9 путей на наличие бинарных файлов su, что является явным индикатором обнаружения root/jailbreak:
Обнаружение root-доступа в мессенджере служит одной цели: определить, имеет ли пользователь повышенный контроль над своим устройством. Эта информация может использоваться для отказа в обслуживании (как видно на примере GrapheneOS) или для корректировки поведения слежки.
Приложение регистрирует android.content.IClipboard.addPrimaryClipChangedListener, что позволяет ему отслеживать каждое изменение буфера обмена. Классифицировано песочницей как credential_access, collection и impact.
Загружает /system_ext/framework/androidx.window.sidecar.jar во время выполнения. Динамическая загрузка DEX — это техника обхода защиты (MITRE T1407), которая позволяет приложению выполнять код, отсутствовавший при установке, обходя статический анализ.
Использует android.app.job.IJobScheduler.schedule для регистрации фоновых задач, выполняемых даже когда приложение не на переднем плане. Помечено как execution и persistence.
Захватывает android.os.IPowerManager.acquireWakeLock, предотвращая переход устройства в спящий режим. Это позволяет вести непрерывный сбор данных в фоновом режиме.
Песочница зафиксировала обширные журналы сбоев и трассировки ошибок, сохраненные в /data/data/ru.oneme.app/cache/tracer/crashes/. Множественные записи ERROR со стектрейсами, файлами system_info и all_logs были созданы во время сессии анализа, что указывает на нестабильный код. Кроме того, базы данных mytracker (проприетарная российская аналитика) и обширные сетевые вызовы apptracer свидетельствуют об агрессивном сборе телеметрии.
1. Интеграция с государством. MAX юридически определен как "многофункциональный сервис обмена информацией" в соответствии с Федеральным законом No 156-ФЗ (24 июня 2025 г.) и Распоряжением Правительства No 1880-р (12 июля 2025 г.). Он интегрируется с ЕСИА (государственная аутентификация), Госуслугами и другими ГИС. Это означает, что приложение функционирует как государственная инфраструктура.
2. Обязательная локализация данных. Все данные обрабатываются и хранятся на серверах в Российской Федерации (Раздел 2.2, 3.2.1). Данные хранятся "в течение срока, предусмотренного применимым законодательством РФ", даже после удаления аккаунта.
3. Доступ правоохранительных органов. Данные раскрываются "исполнительным и судебным органам" по официальному запросу. Политика заявляет о предоставлении "минимально необходимых данных", но объем определяется российским законодательством, а не пользователем.
4. Передача данных третьим лицам. Данные передаются: мобильным операторам, технологическим партнерам, аналитическим сервисам, аффилированным компаниям и "Организациям", имеющим договоры с Компанией. Модель согласия — "конклюдентное действие" (нажатие кнопки является согласием).
5. Сбор телефонной книги. Раздел 3.8 Пользовательского соглашения прямо указывает, что приложение собирает "имена и номера телефонов контактов из адресной книги пользователя". Эти данные используются для уведомления контактов о регистрации, построения социальных графов и приглашения незарегистрированных пользователей.
6. Сбор биометрических данных. Функция "Цифровое удостоверение" требует распознавания лица и верификации отпечатка пальца через устройство. Хотя Компания заявляет, что не обрабатывает биометрию напрямую, интеграция с ГИС означает, что биометрические данные обрабатываются государственным оператором.
7. Автоматическое сканирование контента. Раздел 5.4: "Компания может использовать определенные автоматические компьютерные системы и фильтры для сканирования таких сообщений" — предположительно для спама, но возможности существуют для широкого мониторинга контента.
8. Односторонние изменения. Как Пользовательское соглашение, так и Политика конфиденциальности могут быть изменены Компанией в одностороннем порядке в любое время. Продолжение использования означает принятие.
9. Запрет на реверс-инжиниринг. Раздел 4.3.6 запрещает "реверс-инжиниринг, декомпиляцию, обратную сборку" — явная попытка предотвратить независимые аудиты безопасности, подобные этому.
MAX интегрирован с "РНКО ВК Платежные Решения" (ООО) для быстрых платежей через СБП (Систему быстрых платежей России). Номера телефонов отправителя и получателя передаются платежному процессору. Это создает след финансовых метаданных, привязанный к номерам телефонов.
Mobile Matrix V16 — техники, зафиксированные в ходе анализа в песочнице.
sdk-api.apptracer.ru и tracker-api.vk-analytics.ru на уровне DNS/фаервола для снижения утечки телеметрии.MAX Messenger (ru.oneme.app) получил оценку Вероятно вредоносное 8/10 от песочницы Recorded Future. Поведенческий анализ выявляет паттерн, характерный для государственного программного обеспечения для слежки, замаскированного под потребительский мессенджер:
Мониторинг буфера обмена (доступ к учетным данным), сбор контактов, доступ к фотографиям, обнаружение root-доступа, динамическая загрузка кода, ненадежная подпись кода и агрессивная телеметрия на российскую инфраструктуру — все задокументировано автоматическим анализом в песочнице, а не предположениями.
Правовая основа подтверждает то, что показывает код: MAX глубоко интегрирован с российскими государственными системами, хранит все данные на российских серверах под российской юрисдикцией и предоставляет данные правоохранительным органам по запросу. Запрет на реверс-инжиниринг в пользовательском соглашении дополнительно свидетельствует о том, что разработчики предвидят и желают предотвратить именно такой анализ.
Отказ приложения работать на GrapheneOS без ослабления защитных механизмов, в сочетании с аварийным завершением при эмуляции Android 15, указывает на зависимость от поведения, которое современные защищенные среды явно ограничивают.
Это предварительный отчет. YonSeSecurity проведет полный ручной реверс-инжиниринг декомпилированного кода приложения. Дополнительный отчет с анализом на уровне кода, дополнительными IOC и детальными выводами будет опубликован по завершении.