Исследователи в области кибербезопасности обнаружили новую программу слежения, которая, как подозревают, используется китайскими полицейскими управлениями в качестве инструмента для законного перехвата (lawful intercept), позволяющего собирать широкий спектр данных с мобильных устройств.
Инструмент для Android, получивший кодовое название EagleMsgSpy, функционирует как минимум с 2017 года. Последние образцы были загружены на платформу для сканирования вредоносных программ VirusTotal совсем недавно — 25 сентября 2024 года.
«Шпионское ПО состоит из двух частей: APK-файла установщика и шпионского клиента, который при установке работает в фоновом режиме без интерфейса», — объяснила Кристина Балаам, старший научный сотрудник по исследованиям угроз в компании Lookout. «EagleMsgSpy собирает обширные данные о пользователе: сообщения из сторонних чатов, видеозаписи и снимки экрана, аудиозаписи, журналы звонков, контакты устройства, SMS-сообщения, данные о местоположении, [а также] сетевую активность».
Разработчики EagleMsgSpy описывают его как «комплексный судебный мониторинговый продукт для мобильных телефонов», который может получать «информацию о телефоне подозреваемых в режиме реального времени через сетевой контроль, без ведома подозреваемого, следить за всеми действиями на мобильном телефоне преступников и суммаризировать их».
Компания Lookout связывает эту программу слежения с китайской фирмой Wuhan Chinasoft Token Information Technology Co., Ltd. (также известной как Wuhan Zhongruan Tongzheng Information Technology Co., Ltd и Wuhan ZRTZ Information Technology Co., Ltd), указывая на пересечения в инфраструктуре и ссылки в исходном коде.
Аналитики по безопасности отмечают, что внутренние документы компании, полученные из открытых каталогов в инфраструктуре намекают на существование iOS-версии, хотя подобные образцы пока не были обнаружены в реальной среде.
Примечательной особенностью EagleMsgSpy является то, что, судя по всему, она требует физического доступа к целевому устройству для активации сбора данных. Что касается шпионского клиента, он может быть получен разными способами, например, через QR-коды или с помощью физического устройства, которое устанавливает его на смартфон при подключении по USB.
Версия EagleMsgSpy для Android предназначена для перехвата сообщений, сбора данных из QQ, Telegram, Viber, WhatsApp и WeChat, а также для запуска записи экрана, создания скриншотов и аудиозаписей.
Инструмент также способен собирать журналы звонков, списки контактов, координаты GPS, данные о сетевых и Wi-Fi соединениях, файлы на внешних носителях, закладки из браузера устройства и список установленных приложений. Все собранные данные затем упаковываются в архивы, защищённые паролем, и передаются управляющий сервер.
В отличие от ранних вариантов EagleMsgSpy, где использовалось мало методов обфускации, последние версии применяют инструмент ApkToolPlus для сокрытия части кода. Шпионский модуль взаимодействует с управляющим сервером через WebSockets, используя протокол STOMP для передачи собранных данных и получения дальнейших инструкций.
«Серверы C2 EagleMsgSpy содержат административную панель, требующую аутентификации пользователя», — отмечает Балаам. «Эта административная панель реализована с использованием фреймворка AngularJS, с корректно настроенным маршрутизацией и аутентификацией, предотвращающими несанкционированный доступ к обширному административному API».
Именно в исходном коде этой панели найдены такие функции, как «getListIOS()», позволяющие различать платформы устройств, что намекает на существование iOS-версии этого инструмента для слежки.
Расследование Lookout обнаружило, что панель позволяет клиентам, вероятно правоохранительным органам в материковом Китае, запускать сбор данных в реальном времени с инфицированных устройств. Другим признаком связи с Китаем является жёстко прописанный в нескольких образцах EagleMsgSpy номер телефона из Ухани.
Издание The Hacker News также обнаружило несколько патентных заявок, поданных компанией Wuhan ZRTZ Information Technology Co, Ltd, в которых подробно описаны различные методы «сбора и анализа клиентских данных, таких как записи вызовов подозреваемого, SMS, адресная книга, данные из программ для мгновенных сообщений (QQ, WeChat, Momo и др.), а также способы построения диаграмм связей между подозреваемым и другими лицами».
Ещё один патент описывает «метод и систему автоматического сбора доказательств», что указывает на то, что компания, стоящая за EagleMsgSpy, в первую очередь сосредоточена на разработке продуктов для правоохранительных органов.
«Возможно, что компания реализовала методологии, описанные в их патентных заявках — особенно те, где они утверждают, что разработали уникальные методы создания диаграмм отношений между набором данных», — сказала Балаам. «Однако у нас нет информации о том, как компания обрабатывала на серверной стороне данные, изъятые с устройств».
Кроме того, в Lookout сообщили, что идентифицировала два IP-адреса, связанных с SSL-сертификатами управляющих серверов EagleMsgSpy (202.107.80.34 и 119.36.193.210), которые ранее использовались другими связанными с Китаем средствами слежения — такими как PluginPhantom и CarbonSteal.
«Вредоносная программа помещается на устройствах жертв и настраивается при доступе к разблокированному устройству», — рассказали аналитики. «После установки основной (без интерфейса) модуль работает в фоновом режиме, скрывая свою активность от пользователя устройства, и собирает обширные данные о нём. Публичные (тендерные) запросы для подобных систем указывают, что этот инструмент слежения или аналогичные системы используются многими бюро общественной безопасности в Китае».
Интересно теперь, достанут ли какую-либо информацию о iOS-версии такого программного обеспечения, если она действительно существует.
Ещё по теме:
- ФБР не смогло выяснить, откуда взялись пугающие граждан дроны над Нью-Йорком
- Искусственный интеллект генерирует неправильные отчёты об ошибках и мешает разработчикам
- Задержка внедрения функций iOS 18 влияет на разработку iOS 19
