Аналитики компании Lookout обнаружили неизвестную ранее спайварь для Android под названием EagleMsgSpy. Предполагается, что она используется правоохранительными и государственными органами Китая для наблюдения за мобильными устройствами.
Исследователи считают, что шпионское ПО было разработано китайской компанией Wuhan Chinasoft Token Information Technology Co., Ltd. (она же uhan Zhongruan Tongzheng Information Technology Co., Ltd and Wuhan ZRTZ Information Technology Co, Ltd.) и используется как минимум с 2017 года.
При этом первые артефакты, связанные с EagleMsgSpy, были загружены на VirusTotal лишь 25 сентября 2024 года.
В своем отчете специалисты приводят множество доказательств, связывающих EagleMsgSpy с его разработчиками и операторами, включая IP-адреса, связанные с управляющими серверами, домены, прямые ссылки во внутренней документации, а также публичные контракты и собранные при помощи OSINT-данные.
Например, домен, который Wuhan Chinasoft Token Information Technology использует для размещения рекламных материалов (tzsafe[.]com), также фигурирует в коде EagleMsgSpy, а в документации малвари напрямую упоминается само название компании.
Кроме того, изученные скриншоты тестовых устройств из административной панели EagleMsgSpy соответствуют местоположению офиса компании в Ухане.
Отмечается, что во внутренней документации и инфраструктуре разработчиков спайвари были обнаружены и признаки существования iOS-варианта EagleMsgSpy, однако образца для устройств Apple в распоряжении исследователей пока нет.
Сами разработчики описывают EagleMsgSpy как «комплексный продукт для юридического мониторинга мобильных устройств», который способен собирать «информацию с мобильных телефонов подозреваемых в режиме реального времени, посредством контроля сети без ведома подозреваемого, отслеживать все действия преступника с мобильными телефонами и обобщать их».
Специалисты Lookout полагают, что правоохранительные органы вручную устанавливают EagleMsgSpy на целевые устройства, когда у них есть физический доступ к разблокированным девайсам. Вероятно, это происходит во время конфискации устройств, например, в ходе арестов.
Так как APK-установщик не удалось обнаружить в Google Play Store или сторонних магазинах приложений, предполагается, что шпионское ПО распространяется весьма небольшим кругом операторов.
Изучение разных образцов спайвари показало, что разработчики активно совершенствуют обфускацию кода и шифрование (например, при помощи опенсорсного ApkToolPlus), то есть EagleMsgSpy явно находится в активной разработке.
Будучи установлен на целевое устройство, EagleMsgSpy демонстрирует следующую активность:
- ворует сообщения из мессенджеров (включая QQ, Telegram, Viber, WhatsApp, WeChat и так далее);
- записывает происходящее на экране с помощью Media Projection API, делает скриншоты и записывает аудио;
- извлекает логи вызовов, список контактов и SMS-сообщения;
- получает данные о местоположении (GPS), сетевой активности, установленных приложениях;
- похищает закладки из браузеров и файлы с внешних накопителей.
Все собранные данные временно сохраняются в скрытом каталоге, шифруются, сжимаются, а затем передаются на управляющие серверы.
Панель администратора вредоносной программы носит название «Stability Maintenance Judgment System». Она позволяет удаленным операторам в режиме реального времени инициировать такие действия, как запись аудио, отображение географического распределения контактов жертвы и наблюдение за обменом сообщениями.
Что касается операторов шпионского ПО, Lookout заявляет, что управляющие серверы EagleMsgSpy связаны с доменам Бюро общественной безопасности, например, с отделениями в Яньтае и Чжифу.
Также в отчете отмечается, что специалистам Lookout удалось идентифицировать два IP-адреса, связанных с SSL-сертификатами управляющих серверов EagleMsgSpy (202.107.80[.]34 и 119.36.193[.]210). Ранее эти адреса уже использовались другими шпионскими инструментами из Китая, включая PluginPhantom и CarbonSteal.