Jak działa EagleMsgSpy?
Oprogramowanie EagleMsgSpy to zaawansowany program szpiegujący stworzony przez Wuhan Chinasoft Token Information Technology Co., Ltd. Zostało odkryte, że działa ono w sposób wyjątkowo złożony i precyzyjny. EagleMsgSpy jest instalowane ręcznie przez funkcjonariuszy organów ścigania, najczęściej w sytuacjach, gdy mają oni fizyczny dostęp do odblokowanego urządzenia. Scenariusze takie mogą obejmować konfiskaty sprzętu podczas aresztowań – sytuacje znane z krajów, w których ograniczenia wolności osobistej są częste.
Co ciekawe, program nie jest dostępny w popularnych sklepach z aplikacjami, takich jak Google Play. Zamiast tego jest on rozpowszechniany w sposób wysoce kontrolowany, wyłącznie w wąskich kręgach operatorów. Analizy kolejnych wersji tego złośliwego oprogramowania wskazują na jego ciągły rozwój – z każdym rokiem rośnie poziom zabezpieczeń i trudność wykrycia.
EagleMsgSpy potrafi przechwytywać i gromadzić dane z niemal każdej części urządzenia mobilnego. Wśród kluczowych funkcji tego oprogramowania są:
Przechwytywanie wiadomości z popularnych komunikatorów, takich jak QQ, Telegram czy WhatsApp.
Nagrywanie ekranu, zrzuty ekranu oraz nagrania audio.
Dostęp do listy kontaktów, rejestrów połączeń oraz wiadomości SMS.
Śledzenie lokalizacji GPS oraz aktywności sieciowej.
Zbieranie informacji o zainstalowanych aplikacjach i zakładkach przeglądarki.
Zebrane dane są przechowywane w ukrytym katalogu na urządzeniu, a następnie szyfrowane i kompresowane. Następnie są one przesyłane na serwery dowodzenia i kontroli (C2), co pozwala operatorom na zdalny dostęp do wszystkich informacji.
Wykorzystanie i powiązania
Zastosowanie oprogramowania EagleMsgSpy nie ogranicza się jedynie do zbierania danych. Panel administracyjny o nazwie „Stability Maintenance Judgment System” umożliwia zdalne zarządzanie funkcjami w czasie rzeczywistym, w tym inicjowanie nagrań audio czy monitorowanie geograficznego rozmieszczenia kontaktów.
Eksperci z Lookout przeprowadzili szczegółowe badania, które jednoznacznie łączą EagleMsgSpy z Wuhan Chinasoft Token Information Technology Co., Ltd. Dowody obejmują między innymi adresy IP powiązane z serwerami C2, domeny używane zarówno w celach promocyjnych, jak i w dokumentacji oprogramowania, a także wyniki analiz OSINT.
Domena firmy („tzsafe[.]com”) była używana zarówno w materiałach promocyjnych, jak i w ciągach szyfrujących EagleMsgSpy. Co więcej, zrzuty ekranu z testowego urządzenia, na którym działał panel administracyjny, wskazują lokalizację zgodną z siedzibą firmy w Wuhan.
Podejrzane powiązania z organami ścigania
Według Lookout, serwery kontrolujące działanie oprogramowania są powiązane z domenami używanymi przez chińskie biura bezpieczeństwa publicznego, w tym Biuro Bezpieczeństwa Publicznego w Yantai oraz jego oddział Zhifu. Historyczne dane rejestrów IP potwierdzają również nakładanie się domen z biurami w Dengfeng i Guiyang.
Nazwa panelu administracyjnego, „Stability Maintenance Judgment System,” sugeruje, że program może być systematycznie wykorzystywany przez chińskie organy ścigania i inne agencje rządowe do monitorowania obywateli.
Odkrycie EagleMsgSpy rzuca światło na coraz bardziej zaawansowane narzędzia inwigilacji używane przez państwa. Chociaż naukowcy wskazali na potencjalną wersję programu dla systemu iOS, nie udało się jeszcze przeanalizować żadnej próbki. W obliczu tych odkryć konieczne jest zwiększenie świadomości użytkowników na temat zagrożeń oraz stosowanie środków bezpieczeństwa w celu ochrony swoich danych.
Wciąż pozostaje wiele pytań dotyczących skali wykorzystywania tego oprogramowania oraz jego faktycznych operatorów. Jednak jedno jest pewne – EagleMsgSpy to kolejny krok w kierunku cyfrowej inwigilacji, który wymaga natychmiastowej uwagi ekspertów i społeczeństwa.
