Информатор о смартфонах: раскрыта невидимая система мониторинга и отслеживания EagleMsgSpy

Шпионское ПО перехватывает сообщения пользователей с 2017 года. Сюда.

Эксперты Lookout Threat Lab обнаружили семейство шпионских программ ОрелСообщениеШпиониспользуемый китайской полицией для сбора данных с мобильных устройств. Программа ориентирована на Android, в документах также указано существование версии для iOS, которая пока не обнаружена.

EagleMsgSpy работает с 2017 года. и его установка требует физического доступа к устройству. Компонент установки развертывает модуль скрытого наблюдения. Распространение осуществляется исключительно через физический доступ, так как приложение недоступно в Google Play и других магазинах.

После запуска вам будет предложено выбрать параметры установки и предоставлены дополнительные разрешения для шпионского модуля. Наличие механизма выбора «канала» свидетельствует о том, что ПО могут использовать разные заказчики, а эволюция методов шифрования подтверждает активное развитие и сопровождение продукта.

Собираемая информация включает в себя:

• перехватывать сообщения через службы уведомлений и доступности;
• сбор данных из мессенджеров QQ, Telegram, WhatsApp и WeChat;
• записи экрана и скриншоты;
• аудиозаписи во время работы устройства;
• доступ к журналам вызовов, контактам, SMS, GPS-координатам и списку установленных приложений;
• анализировать сетевые подключения и внешнюю память;
• сбор закладок браузера.

Данные хранятся в скрытом каталоге, сжимаются и защищаются паролем перед отправкой на сервер управления.

Управление шпионским ПО осуществляется удаленно с помощью административной панели под названием Stability Maintenance Judgment System, где администраторы могут собирать фотографии и снимки экрана, блокировать звонки и сообщения, записывать аудио и анализировать данные, включая географическое распределение контактов и частоту общения, причем в режиме реального времени. .

Исследователи Lookout обнаружили связь между серверной инфраструктурой EagleMsgSpy и китайской компанией Wuhan Chinasoft Token Information Technology. В рекламных материалах компании упоминается домен tzsafe(.)com, который также используется в шпионском модуле. Кроме того, IP-адреса серверов привязаны к доменам государственных органов, включая местные департаменты общественной безопасности Китая.

Ранние версии EagleMsgSpy содержали жестко запрограммированные IP-адреса, соответствующие доменам веб-сайтов бюро общественной безопасности. Доступные в открытых источниках контракты на разработку подобных систем подтверждают, что EagleMsgSpy — лишь одна из многих подобных систем, используемых правоохранительными органами.

Кроме того, инфраструктура EagleMsgSpy пересекается с другими китайскими шпионскими программами, такими как PluginPhantom и CarbonSteal, которые ранее использовались против этнических меньшинств в Китае.