Специалисты Lookout Threat Lab обнаружилисемейство шпионского ПО EagleMsgSpy, используемое полицией Китая для сбора данных с мобильных устройств. Программа ориентирована на Android, документы также указывают на существование iOS-версии, которая пока не найдена.
EagleMsgSpy функционирует с 2017 года и требует физического доступа к устройству для установки. Установочный компонент разворачивает скрытый модуль для наблюдения. Распространение осуществляется исключительно через физический доступ, так как приложение отсутствует в Google Play и других магазинах.
После запуска предлагается выбрать параметры установки и предоставляются дополнительные разрешения для шпионского модуля. Наличие механизма выбора “канала” указывает на возможность использования ПО различными клиентами, а эволюция методов шифрования подтверждает активное развитие и поддержку продукта.
Собираемая информация включает:
- перехват сообщений через службы уведомлений и доступности;
- сбор данных из мессенджеров QQ, Telegram, WhatsApp и WeChat;
- записи экрана и создание скриншотов;
- аудиозаписи во время работы устройства;
- доступ к журналам вызовов, контактам, SMS, GPS-координатам и списку установленных приложений;
- анализ сетевых соединений и внешнего хранилища;
- сбор закладок браузера.
Данные сохраняются в скрытой директории, сжимаются и защищаются паролем перед отправкой на сервер управления.
Для удаленного управления шпионской программой используется панель администратора под названием Stability Maintenance Judgment System, в которой администраторы могут в реальном времени собирать фото и скриншоты, блокировать вызовы и сообщения, записывать звук, а также анализировать данные, включая географическое распределение контактов и частоту общения.
Проигрывание записи звука с устройства в реальном времени (сверху) и карта географического распределения контактов цели (снизу) (источник: Lookout )
Исследователи Lookout установили связь между инфраструктурой серверов EagleMsgSpy и китайской компанией Wuhan Chinasoft Token Information Technology. Промоматериалы компании содержат упоминание домена tzsafe[.]com, который также используется в шпионском модуле. Дополнительно, IP-адреса серверов связаны с доменами государственных структур, включая местные управления общественной безопасности Китая.
Ранние версии EagleMsgSpy содержали жестко прописанные IP-адреса, совпадающие с доменами публичных сайтов бюро общественной безопасности. Контракты на разработку аналогичных систем, доступные в открытых источниках, подтверждают, что EagleMsgSpy – лишь одна из множества подобных систем, используемых правоохранительными органами.
Также инфраструктура EagleMsgSpy пересекается с другими китайскими шпионскими программами, такими как PluginPhantom и CarbonSteal, которые ранее использовались против этнических меньшинств в Китае.