Сейчас мессенджер Max «очень классно ловит даже на парковке» ?
Стало интересно: а что же за технологии стоят за этим чудом? Скачал APK (весит ~114 MB) и полез внутрь.
Как ковырял
Ничего сверхъестественного:
apktool для ресурсов
jadx для кода
grep по строкам в DEX
В динамику (Frida, MITM) пока не лез, ограничился статикой.
Первые находки
Три DEX, куча нативных библиотек. Попадаются знакомые:
libjingle_peerconnection_so.so ← WebRTC
libtensorflowlite.so ← TensorFlow Lite
libjlottie.so ← анимации LottieТо есть звонки есть, ML тоже, анимации нормальные — не на коленке.
Сеть и звонки
Внутри OkHttp3 + Okio, есть WebSocket.
Звонки сидят на WebRTC, в коде прям строки PeerConnection, ICE, SDP, Opus.
Нашёл даже отдельный URL: https://max.ru/joincall/.
Медиа
ExoPlayer 2 для видео
Поддержка WebP, GIF, image pipeline
Lottie для анимаций
Стек нормальный, без кустарщины.
ML
libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX-фич.
Удивило, что ML прямо в клиенте.
Домены и корни
Самое интересное: строки из DEX.
https://api.ok.ru
https://api.odnoklassniki.ru
https://mycdn.me
https://welcome.tamtam.chatИ пакеты:
ru/ok/tamtam/login
ru/ok/messages? Это явно TamTam/Odnoklassniki (VK Group) под новым брендом.
Push и сервисы
Максимально дружит с Huawei Mobile Services: push, location, maps, analytics.
В assets лежат .bks сертификаты и agconnect-core.properties.
Firebase SDK нет, но строки FCM встречаются - fallback под Google, похоже, самописный.
Разрешения
В манифесте есть:
READ_CONTACTS, WRITE_CONTACTS
CAMERA, RECORD_AUDIO
ACCESS_FINE_LOCATION, включая background
доступ к медиа
Вообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов — фейк.
Безопасность
E2EE (двухстороннее шифрование) не нашёл: Signal/Olm/Matrix отсутствуют. Значит, только TLS до сервера.
База данных - Room/SQLite без SQLCipher → скорее всего plaintext.
Есть защита от ковыряния: libxhook.so, libtrhook2.so (анти-рут/анти-инжект).
Итог
Max = TamTam/OK под новым именем
Современный стек: WebRTC, ExoPlayer, TFLite, OkHttp
Сквозного шифрования нет
База, скорее всего, лежит открыто
Huawei HMS-интеграция очень глубокая - явно нацелено на устройства без Google
Лично я: в Max приватные переписки не понес бы, а вот типичный чат или как VoIP-клиент он вполне сгодится.
? Если было интересно — подписывайтесь на мой Telegram-канал Prefire.
? Там же анонсы моих стримов на Twitch - смотрим код, разбираем технологии, иногда ковыряем такие вот APK.
Комментарии (9)
Fragster
19.08.2025 09:17Странно. А вот тут про my.tracker пишут https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
BarredEwe Автор
19.08.2025 09:17Хм, не нахожу таких вхождений в apk как на GitHub. Возможно отличается версия.
cosmopolitan_29
19.08.2025 09:17Какая именно версия разбиралась? Из какого источника был получен APK?
SClown
А следов mytracker не видно? Было бы логично его тут встретить
BarredEwe Автор
Я чуть глубже копнул в APK и посмотрел именно на аналитику/трекеры.
Нашлось интересное:
✅ внутри есть:
Huawei Analytics + Hatool (стандарт для HMS-девайсов)
Adjust
Amplitude
VK Ads / MRADX / AppTracer (sdk-api.apptracer.ru в строках)
❌ а вот чего нет:
MyTracker / myTarget
AppMetrica (Яндекс)
AppsFlyer
Firebase Analytics / Crashlytics / Google Analytics
Mixpanel / Sentry / Bugsnag
То есть упор сделан на Huawei-экосистему + часть западных SDK (Adjust, Amplitude), а привычных для СНГ myTracker/AppMetrica тут не нет.
BarredEwe Автор
Update, проверил на последней версии, myTracker и правда присутствует.
Можно самому проверить так:
unzip -p MAXv25.8.1.apk classes.dex | strings | grep -i mytracker