Поширте та передайте всім знайомим військовим: це справжня техніка, яка використовується в реальних польових умовах саме зараз:13 попередньо встановлених системних додаткiв вiд Transsion Holdings (Шеньчжень, Китай) були вилученi та пiдданi зворотнiй iнженерiї. Аналiз виявив координовану iнфраструктуру стеження, яка:1. Мiстить бекдор вiддаленого командування та управлiння (C2), здатний без вiдома користувача встановлювати довiльне програмне забезпечення2. Викрадає iдентифiкатори абонента (IMEI/IMSI) через SMS на жорстко закодованi телефоннi номери, обходячи мережевий монiторинг3. Безперервно передає метаданi дзвiнкiв, мiсцезнаходження та цифровi вiдбитки пристрою на iнфраструктуру, контрольовану Китаєм4. Створює повну резервну копiю вмiсту пристрою (контакти, фото, повiдомлення, прихований сейф) в Alibaba Cloud у Ханчжоу, Китай5. Будує поведiнковi профiлi, визначаючи режим сну, мiсця проживання/роботи та статус подорожей6. Використовує мiждодаткове постiйне вiдстеження, яке зберiгається пiсля замiни SIM-карти та скидання до заводських налаштувань7. Робить прихованi фото камерою через невидиму активнiсть 1x1 пiксель при невдалих спробах розблокування, шифрує та завантажує на сервер8. Передає бiометричнi iдентифiкатори вiдбиткiв пальцiв на сервери Transsion разом з облiковими даними9. Пiдтримує процес-демон (spld), який неможливо вбити, для забезпечення роботи всiх служб стеженняВплив на OPSEC: Будь-який вiйськовослужбовець, який використовує телефони Infinix/Tecno/Itel, має свою iдентичнiсть, мiсцезнаходження, iсторiю дзвiнкiв та контакти постiйно вiдкритими для Transsion Holdings (Китай).Як це працює: Сервер надсилає об'єкти Command, що мiстять URL-адреси APK, прапорцi примусового виконання, обхiд аварiйного режиму та iнструкцiї перезавантаження. Пристрiй завантажує та без вiдома встановлює все, що скаже сервер. Росiя ("ru") знаходиться у списку вiдключення за замовчуванням, але це оновлюється з сервера через /api/v1/server-config.