Quando si parla di Massistant non ci si riferisce a una semplice applicazione malevola come quelle che popolano gli store non ufficiali, ma a un vero e proprio tool forense concepito per estrarre grandi quantità di dati da smartphone fisicamente sequestrati. Le prime analisi approfondite sono state pubblicate dai ricercatori di Lookout Threat Lab, che hanno evidenziato come si tratti di un’evoluzione di un software precedente, denominato MFSocket, con cui condivide la logica di funzionamento: installazione diretta sul dispositivo, estrazione dati mediante interfaccia dedicata e successivo trasferimento a un software desktop di gestione. Il legame industriale riconduce a Meiya Pico, azienda cinese poi rinominata SDIC Intelligence Xiamen Information, nota per aver sviluppato soluzioni investigative adottate da forze di polizia e dogane.
Le circostanze in cui Massistant viene utilizzato non sono quelle tipiche dello spionaggio remoto, ma scenari concreti di controlli alle frontiere, sequestri temporanei durante perquisizioni o accertamenti da parte delle autorità. Lo smartphone deve essere fisicamente in mano all’operatore, il quale procede all’installazione del pacchetto, alla concessione dei permessi richiesti e all’avvio della procedura di estrazione. Questo dettaglio è importante perché distingue Massistant dai classici spyware persistenti che operano a distanza: qui il focus è sull’immediatezza del prelievo e sulla velocità di acquisizione dei dati.
Tipologia di dati raccolti e tecniche di accesso
L’analisi delle versioni più recenti ha mostrato che Massistant può accedere a un perimetro informativo ampio, che spazia da geolocalizzazioni GPS a SMS, da registri chiamate a rubriche, fino a gallerie fotografiche, clip audio e documenti salvati sul dispositivo. Non si limita quindi ai dati di sistema, ma punta a una vera e propria duplicazione dell’identità digitale conservata sullo smartphone.
Per semplificare il lavoro dell’operatore, l’applicazione sfrutta i servizi di Accessibilità di Android, un canale che consente di automatizzare l’accettazione dei vari prompt di sicurezza o di navigare tra i menu di configurazione OEM senza interventi manuali. Questo consente al software di aggirare parte delle difese progettate per rendere più complessa l’estrazione dei dati. Ancora più importante è il supporto dichiarato all’acquisizione di informazioni provenienti da app di messaggistica di terze parti, incluse piattaforme note per la loro attenzione alla crittografia end-to-end come Signal. In questi casi non viene infranta la cifratura dei messaggi in transito, ma vengono recuperati database locali, cache, notifiche e contenuti memorizzati sul dispositivo, con la conseguenza che anche conversazioni apparentemente blindate possono essere parzialmente ricostruite.
Non va trascurata nemmeno la capacità di stabilire connessioni tramite ADB over Wi-Fi, oltre che via cavo USB. Questo significa che in determinati scenari di laboratorio il dispositivo può dialogare con la postazione forense anche senza collegamento fisico, ampliando le possibilità operative per chi conduce l’analisi.
Architettura operativa e ciclo di vita dell’app
Il funzionamento di Massistant segue una sequenza precisa. L’applicazione viene installata sideload sullo smartphone, cioè al di fuori degli store ufficiali. Una volta aperta, richiede una serie di permessi che vengono concessi dall’operatore, dopodiché si connette a un programma desktop tramite una porta locale e instrada i dati verso una torre di acquisizione o un PC dedicato. Questo permette di copiare l’intera memoria del telefono, catalogarla e prepararla per successive analisi forensi.
Terminata la procedura, Massistant può procedere alla disinstallazione automatica, rimuovendo le proprie tracce visibili dall’elenco delle applicazioni. Tuttavia, diversi ricercatori hanno rilevato che non sempre il processo si completa in maniera pulita: in alcuni casi restano log o componenti residui, sufficienti a testimoniare l’avvenuta installazione. Questo scenario apre il problema della persistenza accidentale, che può lasciare all’utente la percezione di aver avuto un software intrusivo sul proprio telefono anche dopo la restituzione del dispositivo.
L’elemento centrale resta che l’intera catena è locale e sincrona: Massistant non nasce come spyware permanente capace di comunicare da remoto per mesi, ma come strumento di estrazione in presenza fisica. Nonostante ciò, la quantità e la varietà di dati che riesce a raccogliere rendono l’operazione estremamente invasiva dal punto di vista della privacy.
I rischi per persone e organizzazioni
Il primo rischio riguarda direttamente la privacy individuale. Con Massistant è possibile ricostruire abitudini quotidiane, relazioni sociali, spostamenti geografici e persino abitudini di comunicazione, con un livello di dettaglio che può trasformarsi in una vera e propria mappa della vita privata. Per l’utente comune significa esporsi a una perdita di controllo totale sulle proprie informazioni più intime, soprattutto se queste vengono conservate o condivise da autorità senza limiti temporali chiari.
Per le aziende, il pericolo è ancora più sensibile. Nei contesti in cui vige la pratica del Bring Your Own Device, ovvero quando i dipendenti utilizzano i propri smartphone anche per scopi professionali, un’acquisizione tramite Massistant può significare l’esfiltrazione di documenti riservati, accessi a drive cloud aziendali, cronologie di chat interne e contatti delicati. In settori come sanità, difesa o finanza, questo tipo di incidente può generare conseguenze legali e di non conformità normativa, oltre a mettere a rischio la segretezza industriale.
Infine, per chi viaggia in Paesi dove le autorità hanno ampi poteri di confisca e analisi dei dispositivi, il rischio di trovarsi con lo smartphone sottoposto a estrazione è tutt’altro che remoto. In queste situazioni, la preparazione è l’unica difesa: viaggiare con dispositivi secondari, ridurre al minimo i dati sensibili e utilizzare container sicuri o soluzioni MDM diventa una scelta di travel security sempre più necessaria.
