Смартфон-информатор: раскрыта невидимая система слежки EagleMsgSpy

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Шпионское ПО с 2017 года перехватывает коммуникации пользователей.

пециалисты Lookout Threat Lab обнаружили семейство шпионского ПО EagleMsgSpy, используемое полицией Китая для сбора данных с мобильных устройств. Программа ориентирована на Android, документы также указывают на существование iOS-версии, которая пока не найдена.

EagleMsgSpy функционирует с 2017 года и требует физического доступа к устройству для установки. Установочный компонент разворачивает скрытый модуль для наблюдения. Распространение осуществляется исключительно через физический доступ, так как приложение отсутствует в Google Play и других магазинах.

После запуска предлагается выбрать параметры установки и предоставляются дополнительные разрешения для шпионского модуля. Наличие механизма выбора «канала» указывает на возможность использования ПО различными клиентами, а эволюция методов шифрования подтверждает активное развитие и поддержку продукта.

Собираемая информация включает:
  • перехват сообщений через службы уведомлений и доступности;
  • сбор данных из мессенджеров QQ, Telegram, WhatsApp и WeChat;
  • записи экрана и создание скриншотов;
  • аудиозаписи во время работы устройства;
  • доступ к журналам вызовов, контактам, SMS, GPS-координатам и списку установленных приложений;
  • анализ сетевых соединений и внешнего хранилища;
  • сбор закладок браузера.

Данные сохраняются в скрытой директории, сжимаются и защищаются паролем перед отправкой на сервер управления.

Для удаленного управления шпионской программой используется панель администратора под названием Stability Maintenance Judgment System, в которой администраторы могут в реальном времени собирать фото и скриншоты, блокировать вызовы и сообщения, записывать звук, а также анализировать данные, включая географическое распределение контактов и частоту общения.

4.png
Проигрывание записи звука с устройства в реальном времени (сверху) и карта географического распределения контактов цели (снизу)

Исследователи Lookout установили связь между инфраструктурой серверов EagleMsgSpy и китайской компанией Wuhan Chinasoft Token Information Technology. Промоматериалы компании содержат упоминание домена tzsafe[.]com, который также используется в шпионском модуле. Дополнительно, IP-адреса серверов связаны с доменами государственных структур, включая местные управления общественной безопасности Китая.

Ранние версии EagleMsgSpy содержали жестко прописанные IP-адреса, совпадающие с доменами публичных сайтов бюро общественной безопасности. Контракты на разработку аналогичных систем, доступные в открытых источниках, подтверждают, что EagleMsgSpy — лишь одна из множества подобных систем, используемых правоохранительными органами.
 
Сверху