Разработанный компанией VK при поддержке Минцифры российский магазин приложений RuStore автоматически инсталлирует мессенджер MAX на Android-устройства без согласия владельцев. 12 июня 2026 года независимые ИБ-специалисты опубликовали результаты реверс-инжиниринга кода маркетплейса, обнаружив встроенный механизм скрытой дистрибуции программ. Кроме невидимой установки софта, национальная платформа собирает точные координаты пользователей и анализирует список запущенных на телефоне приложений.
Как работает механизм тихой загрузки MAX
Специалисты по кибербезопасности декомпилировали актуальный APK-файл магазина RuStore и выявили недокументированную функцию принудительной загрузки стороннего программного обеспечения. Весь процесс запускается удаленно через серверный флаг SAK_MAX_MESSENGER_INSTALL, который активирует тихий установщик в фоновом режиме работы смартфона. В программном коде маркетплейса присутствует специальная конфигурация, полностью блокирующая вывод любых системных уведомлений и всплывающих окон с запросом на подтверждение действий от пользователя.
Таким образом, государственная программа загружается и инсталлируется совершенно незаметно для владельца гаджета. «Без нашего ведома и согласия в фоне скачивается и устанавливается MAX — правительственный мессенджер, в котором полностью отсутствует E2E-шифрование», — сообщил автор технического разбора на платформе Хабр. По словам исследователя, отсутствие на стороне клиента элементарной проверки пользовательского запроса превращает доверенный каталог в классический бэкдор для дистрибуции файлов.
Серверу достаточно отправить Push-сигнал, чтобы скрытно раскатать любой софт на миллионы устройств, работающих под управлением операционной системы Android. Эксперты подчеркивают, что подобный подход прямо нарушает базовые стандарты безопасности мобильных платформ. Ни один альтернативный магазин софта, включая Google Play, F-Droid или Aurora Store, не допускает инсталляцию пакетов без явного взаимодействия с интерфейсом системы.
Тотальный контроль геолокации и активности
Помимо тайной установки мессенджера MAX, встроенные алгоритмы RuStore на постоянной основе отслеживают физические перемещения смартфона. Магазин фиксирует местоположение аппарата, запрашивая данные через аппаратные модули GPS, информацию от мобильных сетей и триангуляцию по ближайшим вышкам сотовой связи.
Собранные географические координаты сохраняются в локальную базу данных SQLite каждые две минуты. После формирования достаточного пула информации приложение пакетно отправляет этот слепок на сервера разработчиков. Дополнительно система собирает полные данные о программной среде мобильного телефона. Платформа от VK формирует исчерпывающий список всех установленных пакетов и аккумулирует статистику их использования, считывая время запуска и продолжительность сессий в каждой отдельной программе.
Высокий уровень доступа маркетплейса объясняется его административным статусом. С 1 апреля 2024 года RuStore был включен в перечень программ, обязательных для предварительной установки на все смартфоны, официально продаваемые на территории Российской Федерации. Для корректной работы цифровой магазин требует от пользователя предоставить ему расширенные системные права, которые впоследствии и применяются для глубокого мониторинга фоновой активности.
Отличия в архитектуре Android и закрытых системах
Ситуация со скрытой установкой правительственного софта стала возможной в том числе благодаря архитектурным особенностям экосистемы от корпорации Google. Операционная система Android позволяет сторонним каталогам запрашивать постоянное разрешение на инсталляцию пакетов. После однократного одобрения такого доступа со стороны владельца, программа получает возможность управлять файловой системой в фоновом режиме. В противовес этому, корпорация Apple выстроила закрытую экосистему iOS, где даже после появления альтернативных магазинов в Европейском Союзе каждое скачивание требует строгой биометрической аутентификации через Face ID или сканер отпечатков пальцев.
Внедрение серверного флага SAK_MAX_MESSENGER_INSTALL демонстрирует радикальный отход от концепции прозрачности программного обеспечения. Программисты намеренно внедрили скрипт, подавляющий интерфейсные предупреждения, что характерно скорее для коммерческих шпионских программ, чем для официальных государственных инициатив. Если сетевая инфраструктура магазина подвергнется хакерской атаке, злоумышленники смогут использовать существующий бэкдор для массового заражения смартфонов по всей стране. Официальные представители Минцифры пока не комментировали найденные уязвимости.
Подписывайтесь на телеграм канал Digital Report, чтобы первыми узнавать о главных событиях цифровой индустрии.
- В One UI 9 от Samsung появится очень необычная функция - 13/06/2026 22:54
- Почему на Redmi Note в России не загружается HyperOS - 13/06/2026 15:22
- iPhone 17 в России раздают чуть ли не даром - 13/06/2026 14:37
