Análise Completa: Auditoria de Segurança do Mensageiro MAX Revela Coleta de Dados e Exfiltração
Uma auditoria profunda no código do mensageiro MAX expôs funcionalidades preocupantes, incluindo coleta massiva de dados de usuários, monitoramento diário de permissões e exfiltração de informações para servidores externos. O artigo detalha as descobertas e como reproduzi-las.
MundiX News·15 de junho de 2026·7 min de leitura·👁 8 views
Uma análise detalhada do código-fonte do mensageiro MAX, realizada através de engenharia reversa com a ferramenta JADX, revelou preocupações significativas em relação à privacidade e segurança dos usuários. A investigação identificou múltiplos componentes que realizam coleta extensiva de dados e comunicação com servidores externos, levantando bandeiras vermelhas sobre o uso das informações dos usuários.
Uma das descobertas mais alarmantes é a integração do SDK MyTracker, identificado no pacote com.my.tracker. Este componente é capaz de realizar um escaneamento completo de todos os aplicativos instalados no dispositivo do usuário, coletar informações de localização GPS em diferentes modos (ativo, cache, nenhum), e carregar módulos adicionais remotamente a partir de um servidor. Além disso, o módulo antifraude associado ao MyTracker coleta dados do dispositivo, e funcionalidades de rastreamento de ambiente e pré-instalação estão ativas, sugerindo uma coleta de dados abrangente e potencialmente invasiva.
Outro ponto crítico é o DailyAnalyticsWorker, localizado no pacote ru.ok.messages.analytics. Este componente executa uma verificação diária do status de sete permissões essenciais do Android: push, contatos, sistema de arquivos, galeria, câmera, microfone e geolocalização. As informações coletadas sobre o status dessas permissões (se estão permitidas, negadas ou parcialmente permitidas) são agregadas e enviadas a um servidor externo sob a tag "PERMISSION". Essa auditoria constante de permissões, mesmo que pareça benigna, pode ser utilizada para criar perfis detalhados do comportamento do usuário e do acesso a dados sensíveis.
A análise também desvendou o SampleUploadWorker (pacote ru.ok.tracer.upload), responsável pela exfiltração de dados para o servidor externo sdk-api.apptracer.ru. Este worker opera em duas fases: initUpload para iniciar o processo e upload para transferir os arquivos. Ele suporta a inclusão de metadados arbitrários, que podem ser configurados remotamente, e utiliza compressão GZIP por padrão. Crucialmente, os arquivos coletados são vinculados à versão específica da build do aplicativo e são excluídos do dispositivo após o envio, indicando um mecanismo robusto para a transferência de dados coletados.
Finalmente, o DpsInitProvider (pacote ru.trace_flow.dps.internal) atua como um ponto de entrada silencioso. Embora seus métodos principais estejam vazios, simulando um ContentProvider falso, sua função onCreate é executada no início do ciclo de vida do aplicativo. Ele verifica configurações em metadados do AndroidManifest e inicializa componentes de rastreamento, como listeners de ciclo de vida, antes mesmo que o aplicativo principal esteja totalmente operacional. Essa inicialização antecipada garante que os mecanismos de rastreamento e coleta de dados sejam ativados o mais cedo possível, maximizando a quantidade de dados capturados.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma análise detalhada do código-fonte do mensageiro MAX, realizada através de engenharia reversa com a ferramenta JADX, revelou preocupações significativas em relação à privacidade e segurança dos usuários. A investigação identificou múltiplos componentes que realizam coleta extensiva de dados e comunicação com servidores externos, levantando bandeiras vermelhas sobre o uso das informações dos usuários.
Uma das descobertas mais alarmantes é a integração do SDK MyTracker, identificado no pacote com.my.tracker. Este componente é capaz de realizar um escaneamento completo de todos os aplicativos instalados no dispositivo do usuário, coletar informações de localização GPS em diferentes modos (ativo, cache, nenhum), e carregar módulos adicionais remotamente a partir de um servidor. Além disso, o módulo antifraude associado ao MyTracker coleta dados do dispositivo, e funcionalidades de rastreamento de ambiente e pré-instalação estão ativas, sugerindo uma coleta de dados abrangente e potencialmente invasiva.
Outro ponto crítico é o DailyAnalyticsWorker, localizado no pacote ru.ok.messages.analytics. Este componente executa uma verificação diária do status de sete permissões essenciais do Android: push, contatos, sistema de arquivos, galeria, câmera, microfone e geolocalização. As informações coletadas sobre o status dessas permissões (se estão permitidas, negadas ou parcialmente permitidas) são agregadas e enviadas a um servidor externo sob a tag "PERMISSION". Essa auditoria constante de permissões, mesmo que pareça benigna, pode ser utilizada para criar perfis detalhados do comportamento do usuário e do acesso a dados sensíveis.
A análise também desvendou o SampleUploadWorker (pacote ru.ok.tracer.upload), responsável pela exfiltração de dados para o servidor externo sdk-api.apptracer.ru. Este worker opera em duas fases: initUpload para iniciar o processo e upload para transferir os arquivos. Ele suporta a inclusão de metadados arbitrários, que podem ser configurados remotamente, e utiliza compressão GZIP por padrão. Crucialmente, os arquivos coletados são vinculados à versão específica da build do aplicativo e são excluídos do dispositivo após o envio, indicando um mecanismo robusto para a transferência de dados coletados.
Finalmente, o DpsInitProvider (pacote ru.trace_flow.dps.internal) atua como um ponto de entrada silencioso. Embora seus métodos principais estejam vazios, simulando um ContentProvider falso, sua função onCreate é executada no início do ciclo de vida do aplicativo. Ele verifica configurações em metadados do AndroidManifest e inicializa componentes de rastreamento, como listeners de ciclo de vida, antes mesmo que o aplicativo principal esteja totalmente operacional. Essa inicialização antecipada garante que os mecanismos de rastreamento e coleta de dados sejam ativados o mais cedo possível, maximizando a quantidade de dados capturados.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
