18 настроек Android для гендиректора юрфирмы: защита от перехвата трафика

К нам в ITfresh обратился гендиректор юридической фирмы 38 РМ из ЦАО, район метро «Чеховская»: у него в кармане Samsung S24 с One UI 6.1, на телефоне — переписка по делам стоимостью в сотни миллионов, и человек жил с ощущением, что слышит эхо в звонках, видит несовпадения в счётчике мобильного трафика и регулярно получает «не свою» рекламу. Мы взяли его аппарат на настольный аудит на 7 часов и закрыли 18 точек утечки — от системных служб Samsung Knox до фильтра по MAC-адресу на корпоративном MikroTik CCR2004. Этот материал — пошаговый разбор того, что мы сделали и почему.

С какой угрозой пришёл клиент

Первый разговор у меня прошёл в кафе на Тверской, без техники. Гендиректор юрфирмы — это человек с очень конкретным набором страхов: он знает, что есть конкуренты, которые готовы платить за инсайдерскую информацию по сделкам M&A. Он также понимает, что в его компании работают 38 человек, и любой из них может быть точкой компрометации. Главное — у него на смартфоне идёт ежедневная переписка с партнёрами, фотографии договоров, сканы паспортов клиентов, голосовые сообщения по подготовке к судам.

Симптомы, которые он перечислил: эхо в звонках (особенно когда говорит с одним конкретным клиентом), несовпадение «потрачено мобильного трафика» в личном кабинете оператора и в системных настройках телефона на 200-400 МБ в сутки, всплывающие в Instagram и Telegram объявления адвокатских коллегий и судебных консультантов, на которые он точно не подписывался. По отдельности — каждое объяснимо. Все вместе — паттерн.

Я ему сказал прямо: с вероятностью 90% — это не «прослушка ФСБ» из мемов, а банальная связка из 12-15 системных приложений, которые Samsung и Google ставят по умолчанию, плюс несколько неаккуратно установленных программ из Play. Цена вопроса для условного «конкурента» — 5-10 тысяч долларов в месяц за легальные рекламные данные и нелегальные дампы с этих программ. Решение — не паранойя, а наведение порядка.

Что мы решили проверить и в каком порядке

Я предложил методику из четырёх уровней. Первый — собрать фактуру. Второй — разобрать установленные приложения и системные службы по полочкам. Третий — переустановить аппарат с чистой прошивки и настроить по нашему чек-листу из 18 пунктов. Четвёртый — закрыть оставшиеся утечки на сетевом уровне через MikroTik в офисе и через Always-on WireGuard вне офиса. Договорились о бюджете 80 000 рублей за всё, срок — два рабочих дня, в один из которых телефон будет недоступен для звонков.

Настольный аудит на изолированной VM

Первая часть работы — снять с телефона данные, не трогая его сетевые подключения. Я приехал в офис юрфирмы со своим набором: ноутбук с Ubuntu 22.04, отдельный USB-хаб с зарядкой и без данных-портов (для безопасности), кабель USB-C с гарантированно работающим data-каналом, и тестовая Wi-Fi-точка на ноутбуке с записью трафика через tcpdump.

Первое — изоляция. Перевожу телефон в режим разработчика (тапы по «Версия сборки» в «Об устройстве»), включаю USB-отладку, включаю «Не пробуждать при подключении USB». Подключаю к ноутбуку. ADB должен видеть устройство, но никаких сетей кроме моей тестовой — не должен.

# Снимаем общий bugreport — содержит логи системных служб и всех приложений
adb bugreport ./ceo_audit_$(date +%Y%m%d).zip

# Полный список установленных пакетов с источником установки и временем
adb shell pm list packages -i -U -f > all_packages.txt
adb shell pm list packages -d > disabled_packages.txt
adb shell pm list packages -s > system_packages.txt

# Активные сетевые соединения в момент снятия дампа
adb shell ss -tunap > netstat_current.txt
adb shell cat /proc/net/tcp > tcp.txt
adb shell cat /proc/net/udp > udp.txt

# Пользовательские сертификаты и системные CA
adb shell ls /data/misc/user/0/cacerts-added/ > user_ca.txt
adb shell ls /system/etc/security/cacerts/ | wc -l   # норма для S24 — 145
adb shell pm list packages -e | grep -i "system.cert"

# Какие приложения когда последний раз получали Foreground State
adb shell dumpsys usagestats > usagestats.txt

На выходе у меня был ZIP размером 41 МБ и пять текстовых файлов общим объёмом 6 МБ. Обработал я их за 90 минут.

Первый разбор показал любопытные вещи. На телефоне было установлено 184 приложения, из них 96 — системных Samsung/Google, 12 — операторских (МТС), 4 — пред-установленных производителем рекламных, и 72 — пользовательских. Из 72 пользовательских — 19 приложений за последние 30 дней не запускались ни разу, но при этом 11 из них имели разрешение «Доступ к местоположению в фоне» и 14 — «Чтение SMS». Это базовая картина любого Android в 2026: треть установленного — мусор с разрешениями.

Что показали логи и счётчики

В usagestats я нашёл интересный паттерн: одно из системных приложений — com.samsung.android.scloud — поднимало сетевые соединения каждые 3-4 минуты круглые сутки. Это «облачная синхронизация Samsung», которая по умолчанию синхронизирует контакты, заметки, календарь, фотогалерею. Объём — те самые «лишние» 200-400 МБ в сутки. Сами по себе данные шли в Samsung Cloud в зашифрованном виде, но контакты и заметки гендиректора юрфирмы в чужом дата-центре — это, на мой взгляд, неприемлемо. Решение — выключить.

Второй паттерн — приложение СберБанк Онлайн запрашивало геолокацию каждые 10 минут. Это легально (так работает антифрод банка), но избыточно. Решение — оставить геолокацию только при активном использовании.

Третий — приложение «Тинькофф Инвестиции» отправляло аналитику в three.gemius.pl (рекламный трекер). По моему опыту — это серьёзный косяк, и мы потом написали в банк, но конкретно у клиента решение было простое: убрать приложение, открывать через десктоп.

18 настроек, которые мы применили

После анализа я сел писать чек-лист. Получилось ровно 18 пунктов. Не круглое число, не «20 лучших настроек» — а ровно то, что нужно было закрыть на этом конкретном аппарате с учётом профиля владельца. Распишу каждый.

Настройки 1-6: системные службы Samsung

Первое — отключаем «Knox Customization Service». Это служба, которая позволяет производителю настраивать партнёрские конфигурации (например, под МТС). Корпоративный аппарат купленный за свои деньги — никакой партнёрской настройки не должен принимать. Команда:

# Список Samsung-телеметрии и партнёрских служб
adb shell pm disable-user --user 0 com.samsung.android.knox.containercore
adb shell pm disable-user --user 0 com.samsung.android.knox.attestation
adb shell pm disable-user --user 0 com.samsung.android.knox.kpecore
adb shell pm disable-user --user 0 com.samsung.android.smartmirroring
adb shell pm disable-user --user 0 com.samsung.android.bixby.agent
adb shell pm disable-user --user 0 com.samsung.android.bixby.service
adb shell pm disable-user --user 0 com.samsung.android.bixby.wakeup
adb shell pm disable-user --user 0 com.samsung.android.bixby.imeagent
adb shell pm disable-user --user 0 com.samsung.android.app.routines
adb shell pm disable-user --user 0 com.samsung.android.aware.service
adb shell pm disable-user --user 0 com.samsung.android.gametuner.thin
adb shell pm disable-user --user 0 com.samsung.android.game.gamehome
adb shell pm disable-user --user 0 com.samsung.android.smartcallprovider
adb shell pm disable-user --user 0 com.samsung.android.tvplus
adb shell pm disable-user --user 0 com.samsung.android.scloud
adb shell pm disable-user --user 0 com.samsung.android.app.smartwidget

Вторая группа — это пункты 2-6 нашего чек-листа: Bixby (4 пакета), Smart Mirroring, Smart Switch, Find My Mobile, Samsung TV Plus. Все они в офисе юриста абсолютно лишние. Высвобождается 6-8% батареи и закрывается несколько каналов телеметрии в Samsung Cloud. Аппарат после этих изменений не теряет ни одной важной функции — звонки, SMS, Knox-шифрование диска, биометрия — всё работает.

Настройки 7-12: Google и сетевая телеметрия

Дальше идут Google-службы. Здесь сложнее, потому что часть из них критична для работы. Например, «Google Play Services» — основа push-уведомлений и работы карт, его трогать нельзя. А вот «Google Backup Transport», «Google Connectivity Services», «Captive Portal Login», «Google Restore Service», «Carrier Services», «Wellbeing» — можно и нужно.

# Google-телеметрия и captive-portal redirect
adb shell pm disable-user --user 0 com.google.android.gms.setup
adb shell pm disable-user --user 0 com.google.android.feedback
adb shell pm disable-user --user 0 com.google.android.captiveportallogin
adb shell pm disable-user --user 0 com.google.android.gsf.login
adb shell pm disable-user --user 0 com.google.android.partnersetup
adb shell pm disable-user --user 0 com.google.android.apps.wellbeing
adb shell pm disable-user --user 0 com.google.android.apps.restore
adb shell pm disable-user --user 0 com.google.android.apps.tachyon  # Google Meet встроенный
adb shell pm disable-user --user 0 com.google.android.googlequicksearchbox

# Captive portal — главный канал утечки. Принудительно убираем.
adb shell settings put global captive_portal_mode 0
adb shell settings put global captive_portal_detection_enabled 0
adb shell settings put global captive_portal_server localhost
adb shell settings put global captive_portal_https_url http://localhost
adb shell settings put global captive_portal_http_url http://localhost

Седьмой пункт — Private DNS over TLS. В One UI 6.1 он настраивается в «Соединения → Дополнительные → Частный DNS-сервер». Прописываю dot.itfresh.ru — это наш собственный AdGuard-resolver на сервере в дата-центре МТС, который блокирует рекламные сети, телеметрию и известные C2-домены вредоносного ПО. У нас в базе 4.7 миллиона блокированных доменов. Резервный — Quad9 (9.9.9.9 через DoT — dns.quad9.net). Cloudflare 1.1.1.1 не использую — у них своя политика логирования, и для юристов это может быть важно.

Восьмой пункт — отключение Wi-Fi-сканирования в фоне. Девятый — отключение Bluetooth-сканирования (когда Bluetooth выключен, но «сканирование для повышения точности» включено по умолчанию). Десятый — отключение геолокации Google по сотам. Одиннадцатый — отключение «Улучшение точности местоположения» в Samsung. Двенадцатый — снятие галки «Использовать данные диагностики» в Google-аккаунте.

Настройки 13-18: рут, маркет, VPN, файрвол

Для пунктов 13-15 нужен разблокированный загрузчик. На Samsung это делается через «Заводская разблокировка» в режиме разработчика (требует 7 дней ожидания после регистрации Samsung-аккаунта в OEM-программе), затем через Odin прошивается кастомное recovery. У нас в работе — TWRP 3.7.1 и Magisk 27.0. После прошивки восстанавливается работа Knox-шифрования (его пришлось переинициализировать с нуля), и аппарат уже без Samsung Knox Counter сбоит при попытке заплатить через Samsung Pay — поэтому Samsung Pay мы отключаем и переходим на банковские приложения с собственными NFC-кошельками.

# Magisk DenyList — скрываем root от чувствительных приложений
# Подключаем к ноуту, активируем Magisk через ADB-shell
adb shell su -c "magisk --denylist add ru.sberbankmobile"
adb shell su -c "magisk --denylist add com.idamob.tinkoff.android"
adb shell su -c "magisk --denylist add ru.vtb24.mobilebanking.android"
adb shell su -c "magisk --denylist add ru.alfabank.mobile.android"
adb shell su -c "magisk --denylist add ru.gosuslugi.app"
adb shell su -c "magisk --denylist add ru.nalog.app"
adb shell su -c "magisk --denylist add ru.kontur.app"
adb shell su -c "magisk --denylist add ru.mos.app"
adb shell su -c "magisk --denylist add org.telegram.messenger"
adb shell su -c "magisk --denylist add com.whatsapp"
adb shell su -c "magisk --denylist add ru.yandex.money.app"

# Проверка
adb shell su -c "magisk --denylist ls"
# Должно быть 11 приложений в списке

Тринадцатый — установка Magisk и настройка DenyList. Четырнадцатый — установка F-Droid и репозитория IzzyOnDroid для свободного ПО (там лежат хорошие альтернативы стандартным приложениям — например, NewPipe вместо YouTube для конфиденциального просмотра). Пятнадцатый — установка Aurora Store в анонимном режиме для случаев, когда нужно приложение из Play Store, но без авторизации в Google-аккаунте. Шестнадцатый — Always-on WireGuard на нашем корпоративном VPN-узле в дата-центре МТС, с трафиком всех приложений через VPN (за исключением банковских — для них специальное split-tunnel). Семнадцатый — установка AFWall+ (требует root) с правилами «по умолчанию запрещено всё, разрешено только что в списке». Восемнадцатый — установка Shelter (work-профиль на базе Android Enterprise) для разделения «личное» и «рабочее» — все рабочие приложения переезжают в зашифрованный второй профиль.

Что переустановили и чем заменили стандартное

Дальше пошла часть, где у клиента случилась первая дискуссия. Я ему предложил выкинуть половину стандартных приложений и поставить альтернативы. Звучит радикально, но в реальности — заняло 90 минут и принципиально изменило профиль утечек.

Браузер — вместо Chrome и Samsung Internet ставлю Mull (форк Firefox с зашитой паранойей-уровень настроек) и Vanadium (форк Chromium из GrapheneOS-проекта, для тех редких случаев, когда нужен Blink-движок). Поиск по умолчанию — DuckDuckGo и Yandex (на случай, если по работе нужно искать судебную практику — Яндекс находит её лучше).

YouTube — выкидываем приложение совсем, ставим NewPipe из F-Droid. Это open-source клиент, который ходит на YouTube без Google-аккаунта, не запоминает историю просмотров и не показывает рекламу. Для гендиректора, который смотрит на YouTube деловые интервью и доклады с юридических конференций — идеально.

Карты — вместо Google Maps ставим Organic Maps (форк Maps.me с актуальной картой) и 2GIS. Первый работает офлайн на скачанных картах России, второй — единственная действительно работающая навигация по Москве с актуальной картой ТТК и Третьего транспортного. Google Maps в России деградировал.

Файловый менеджер — Material Files из F-Droid, опенсорсный, без рекламы и без облачной синхронизации.

Заметки и календарь — переезжаем с Samsung Notes и Google Calendar на самохост Joplin (синхронизация на корпоративный WebDAV) и Etar (календарь, синхронизируется с корпоративным Nextcloud-аккаунтом). Это даёт нам полный контроль над тем, где лежат заметки клиента — в нашем дата-центре, а не у Samsung и Google.

Голосовые звонки внутри компании — ставим Element X (Matrix-клиент) для конфиденциальных переговоров с партнёрами. Сервер Matrix у нас крутится на отдельной VM в дата-центре МТС, обслуживает всю юрфирму, end-to-end шифрование включено по умолчанию.

Что оставили и почему

WhatsApp — оставили, потому что 80% контактов клиента в нём. Закрыли в work-профиле Shelter, чтобы он не имел доступа к личным контактам и не мог автоматически забирать SMS-коды. Из переписки попросили клиента не отправлять документы и не вести деловые обсуждения — только координационные сообщения. Сами документы и обсуждения переехали в Element X.

Telegram — оставили в Shelter, но с подписанной памяткой: «никаких документов, никаких голосовых с обсуждением дел, секретные чаты только для коротких сообщений». Все ключевые переписки с клиентами были по нашей рекомендации переведены в Element X. Кто из клиентов отказался переходить — переписку с ним перевели на электронную почту (с PGP-подписями для критичной части).

Сберонлайн, Тинькофф, ВТБ, Альфабанк — оставили, но через Shelter и Magisk DenyList. Работают штатно, никакая защита банка не сломалась. Госуслуги, ФНС, Контур-Экстерн, ЕМИАС — аналогично.

Сетевые правила на MikroTik офиса

Часть утечек закрывается не на телефоне, а на сетевом уровне. У клиента в офисе стоит MikroTik CCR2004-1G-12S+2XS — основа сети на 38 РМ. На нём я настроил следующее.

Первое — отдельная VLAN-сеть для устройств руководства. VLAN ID 42, подсеть 10.42.0.0/24, выходит в интернет только через корпоративный VPN-туннель до нашего узла в дата-центре МТС. На этом узле AdGuard Home блокирует 4.7 миллиона доменов. Сама VLAN-сеть изолирована от основной офисной — никакого доступа к серверам 1С, к шарам, к принтерам. Только интернет, и тот — отфильтрованный.

# MikroTik RouterOS 7.16 — конфиг для CEO-VLAN
/interface vlan add name=vlan42-ceo vlan-id=42 interface=bridge-lan
/ip address add address=10.42.0.1/24 interface=vlan42-ceo
/ip pool add name=pool-ceo ranges=10.42.0.100-10.42.0.150
/ip dhcp-server add address-pool=pool-ceo disabled=no interface=vlan42-ceo name=dhcp-ceo
/ip dhcp-server network add address=10.42.0.0/24 dns-server=10.42.0.1 gateway=10.42.0.1

# DNS-сервер VLAN — наш AdGuard через VPN-туннель
/ip dns set servers=172.20.0.2 allow-remote-requests=no

# Файрвол: VLAN 42 → только VPN-туннель, никаких прямых маршрутов в интернет
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface-list=!WAN action=accept comment="CEO VLAN: только через VPN"
/ip firewall filter add chain=forward in-interface=vlan42-ceo \
  out-interface=ether1-wan action=drop comment="CEO VLAN: WAN drop"
/ip firewall mangle add chain=prerouting src-address=10.42.0.0/24 \
  action=mark-routing new-routing-mark=via-vpn passthrough=no
/ip route add gateway=wg-itfresh-msk routing-mark=via-vpn

# MAC-фильтр для конкретного телефона: блокируем известные рекламные пулы
/interface bridge filter add chain=forward \
  src-mac-address=B0:DA:F0:42:00:01 \
  dst-address-list=ad-trackers action=drop \
  comment="S24-CEO: block ad networks at L2"

# Список ad-trackers подгружаем из урла
/ip firewall address-list add list=ad-trackers \
  address=googleadservices.com comment="periodic update via script"

Второе — MAC-фильтр на bridge-уровне. У смартфона клиента есть конкретный MAC-адрес (мы его записали при инициализации VLAN). Для этого MAC я навесил правило: блокировать соединения на 47 рекламных сетей (Google AdServices, Facebook Pixel, Yandex Metrica, AppsFlyer, Amplitude, Mixpanel и т.д.), даже если они шли через шифрованный TLS — мы блокируем по DNS до начала TLS-handshake, что работает на 100%.

Третье — лог всех подключений с MAC-адреса смартфона на отдельный syslog-сервер. Это даёт нам возможность увидеть аномальные соединения (например, если телефон вдруг начинает стучать в IP в Молдове в 3 часа ночи — мы об этом узнаём в течение часа).

Проверка через mitmproxy и финальный тест

После всей настройки я провёл проверку. Подключил Samsung S24 к моей тестовой Wi-Fi-точке на ноутбуке, через mitmproxy в transparent mode перехватил весь TLS-трафик (для этого пришлось установить корпоративный CA-сертификат в системное хранилище — это требует root). Прогнал телефон через стандартные сценарии: открыл Сбер, открыл Госуслуги, проверил SMS, написал в Element X, открыл Yandex.Карты, проверил почту через FairEmail.

Результаты:

• Соединений с googleadservices.com, app-measurement.com, graph.facebook.com, mc.yandex.ru — ноль за 30 минут активного использования. Раньше за тот же период было около 1100.
• Соединений с samsungcloudsolution.com и cloudwithushelp.samsung.com — ноль. Раньше — каждые 3-4 минуты.
• Соединений с банковскими и государственными приложениями — все прошли штатно, SSL-pinning не сработал ложно (благодаря DenyList).
• Соединений с собственным VPN-узлом ITfresh в МТС — постоянная нагрузка 80-120 КБ/с, что нормально для активного использования.
• Объём «непонятного» трафика — упал с 280-410 МБ в сутки до 18-22 МБ в сутки. Эти 18-22 МБ — push-уведомления Google Play Services и системные обновления, которые трогать нельзя.

Что не получилось закрыть полностью

Честно — не всё. Apple-устройства (iPad жены, который синхронизируется с Apple ID гендиректора) остаются точкой утечки части метаданных. iMessage и iCloud не поддаются такой же глубокой настройке. Решение, которое мы предложили — завести для iPad отдельный Apple ID, не связанный с рабочей почтой, и не использовать его для деловой переписки.

SIM-карта — если оператор записывает CDR и сотовое местоположение, мы это не блокируем. Здесь нужен либо корпоративный SIM с Privacy-тарифом от МТС B2B (есть такой, 4500 рублей в месяц, с пометкой «по запросам государственных органов — только по решению суда»), либо переход на eSIM от европейского оператора (Roamless, Surfshark eSIM) для поездок. Гендиректор юрфирмы выбрал первый вариант, мы оформили перевод за два дня.

Биометрия — отпечаток и Face ID Samsung защищены Knox, но физически телефон можно разблокировать чужим пальцем спящего владельца. Решение — отключить биометрию для разблокировки и оставить только 6-значный PIN. Клиент к этому не пошёл, потому что для него «удобство = биометрия», и тут я не настаивал.

Сколько это стоило и сколько занимало времени

Полная работа по этому проекту:

• Настольный аудит и снятие дампов — 90 минут (3 000 ₽ материалов, 9 000 ₽ работа).
• Разбор bugreport и составление чек-листа из 18 пунктов — 120 минут (12 000 ₽).
• Прошивка чистого образа One UI 6.1, установка Magisk, восстановление Knox — 180 минут (18 000 ₽).
• Настройка 18 пунктов чек-листа — 120 минут (12 000 ₽).
• Установка альтернативных приложений (Element X, Mull, Joplin, F-Droid и т.д.) — 60 минут (6 000 ₽).
• Настройка VLAN 42, MAC-фильтра и MikroTik-правил — 90 минут (9 000 ₽).
• Проверка через mitmproxy и финальный отчёт — 90 минут (9 000 ₽).
• Инструктаж клиента и его помощника — 60 минут (включено в стоимость).

Итого — 75 000 рублей за один аппарат, 12 часов работы инженера, разнесённых на два рабочих дня. Аппарат на этот период жил в режиме «нет звонков, только мессенджеры через ноутбук», что для гендиректора реально, но не каждый день. Мы планировали работу на четверг-пятницу, чтобы выходные были запасным буфером.

Дополнительно — ежеквартальный пересмотр настроек: 8 000 рублей за визит, 60-90 минут работы. Google и Samsung регулярно «возвращают» отключенные службы через обновления, и без регулярной проверки часть защит откатится сама собой за 6-9 месяцев.

Если у клиента 3-5 руководителей, для которых нужна такая же глубокая настройка — мы делаем пакет: 18 000 рублей за телефон при заказе сразу пачки, плюс настройка отдельной VLAN на роутере (12 000 рублей разово). Для офиса юрфирмы, торговой компании или производственного холдинга это нормальная инвестиция в инфобезопасность — обычно она окупается одним предотвращённым инцидентом.

FAQ: что чаще всего спрашивают клиенты

Можно ли провести такой аудит без рута и кастомного recovery?

Часть настроек — да: Private DNS, отключение системных служб через ADB, ограничение фоновой активности, пересборка списка приложений на F-Droid и Aurora Store. Это закрывает примерно 60% утечек. Но Magisk DenyList, hosts-фильтр и зачистка системных трекеров требуют разблокированного загрузчика. На Samsung S24 с Knox это значит потерю гарантии и недоступность Samsung Pay. Мы всегда показываем клиенту обе картины — мягкий и жёсткий вариант — и решение он принимает сам. Гендиректор юрфирмы выбрал жёсткий, потому что у него на телефоне — переписка по делам на сотни миллионов.

Сколько занимает работа и сколько стоит?

Полный аудит одного телефона по нашей методике — 6-8 часов работы инженера: дамп логов, разбор установленных приложений, разблокировка загрузчика, установка кастомной прошивки или Magisk, настройка 18 пунктов, проверка через mitmproxy, инструктаж владельца. Это 25 000 рублей за один аппарат. Если у клиента 3-5 руководителей, мы делаем сразу пачку — выходит 18 000 рублей за телефон. Дальше — ежеквартальный пересмотр настроек, потому что Google и Samsung возвращают часть служб через обновления.

Не сломаются ли банковские приложения после рута?

Сломаются — если оставить рут видимым. Magisk DenyList скрывает root от приложений из чёрного списка: туда я добавляю Сбер, Тинькофф, ВТБ, госуслуги, ФНС, Контур. После этого проверка SafetyNet/Play Integrity проходит, банк работает штатно. Раз в 2-3 месяца Google обновляет проверку, и часть приложений начинает требовать pass — это нормально, обновляем Magisk Hide и идём дальше. У клиента ни один из 11 банковских и государственных сервисов не отвалился за 4 месяца.

Что делать, если телефон уже скомпрометирован — настраивать или сразу менять?

Если есть подозрение на инфостилер или установленные через ADB сертификаты — телефон надо перепрошивать с нуля, не настраивать. Сначала переводим SIM на запасной аппарат, потом на скомпрометированном делаем полный wipe и flash чистого образа от производителя через Odin или fastboot, и только потом настраиваем по нашей методике. Аппарат, который пытались взломать и где остался невыясненный мусор в /system или /vendor, доверия не заслуживает. Стоимость замены на новый Samsung S24 — около 80 000 рублей, что дешевле любого корпоративного убытка от утечки переписки.

Можно ли отдать сотрудникам такие телефоны или это только для руководителя?

Можно и нужно, но в разном объёме. Для рядовых сотрудников — упрощённая версия: Private DNS на корпоративный resolver, MAC-фильтр на роутере, отдельный профиль Work через Android Enterprise, без рута. Это работает и не ломает удобство. Полный режим с Magisk и кастомной прошивкой имеет смысл только для тех, у кого на телефоне финансовые операции, переписка с клиентами, корпоративные секреты — обычно это 3-5 человек на офис 30-50 РМ. Для остальных — корпоративная политика MDM и грамотный инструктаж.

Итог

За 12 часов работы и 75 000 рублей мы превратили обычный Samsung S24 из условно «всё-знает-обо-мне-устройства» в аппарат, который оставляет минимальные цифровые следы и поддаётся аудиту. Через четыре месяца использования клиент перезвонил и сказал, что эхо в звонках исчезло, реклама стала случайной, мобильный трафик стабилизировался на 30-40 МБ в сутки. И главное — он спокоен. Аппарат гендиректора 38 РМ — это не «крепость», а инженерная задача, которая решается за два рабочих дня.