Se ha descubierto un software espía de Android previamente no documentado llamado “EagleMsgSpy” y se cree que lo utilizan las fuerzas del orden en China para monitorear dispositivos móviles.
Según un nuevo informe de LookoutEl software espía fue desarrollado por Wuhan Chinasoft Token Information Technology Co., Ltd. y ha estado operativo desde al menos 2017.
Lookout presenta una amplia evidencia que vincula a EagleMsgSpy con sus desarrolladores y operadores, incluidas direcciones IP vinculadas a servidores C2, dominios, referencias directas en documentación interna y también contratos públicos.
Los investigadores también encontraron pistas sobre la existencia de una variante de iOS. Sin embargo, aún no han tenido acceso a una muestra para analizar.
Potente software espía para Android
Lookout cree que las fuerzas del orden instalan manualmente el software espía EagleMsgSpy cuando tienen acceso físico a dispositivos desbloqueados. Esto podría lograrse confiscando el dispositivo durante los arrestos, lo cual es común en países opresivos.
Lookout no ha visto el APK del instalador en Google Play ni en tiendas de aplicaciones de terceros, por lo que es probable que el software espía sólo lo distribuya un pequeño círculo de operadores.
Fuente: Mirador
Las versiones posteriores de malware analizadas por los analistas muestran mejoras en la ofuscación y el cifrado del código, lo que indica un desarrollo activo.
Las actividades de robo de datos de EagleMsgSpy se dirigen en particular a lo siguiente:
- Mensajes de aplicaciones de chat (QQ, Telegram, WhatsApp, etc.)
- Grabación de pantalla, capturas de pantalla y grabaciones de audio.
- Registros de llamadas, contactos, mensajes SMS.
- Ubicación (GPS), actividad de la red, aplicaciones instaladas.
- Marcadores del navegador, archivos de almacenamiento externo.
Los datos se almacenan temporalmente en un directorio oculto, se cifran, se comprimen y se filtran a servidores de comando y control (C2).
El malware tiene un panel de administrador llamado “Sistema de evaluación del mantenimiento de la estabilidad”.
El panel permite a los operadores remotos iniciar actividades en tiempo real, como activar grabaciones de audio o mostrar la distribución geográfica y los intercambios de comunicación de los contactos del objetivo.
Fuente: Mirador
Detrás de EagleMsgSpy
Lookout afirma con gran confianza que los creadores de EagleMsgSpy son Wuhan Chinasoft Token Information Technology, vinculado al malware a través de superposiciones en infraestructura, documentación interna e investigaciones OSINT.
Por ejemplo, un dominio que la empresa utiliza para materiales promocionales (“tzsafe[.]com’) también aparece en las cadenas de cifrado de EagleMsgSpy, mientras que la documentación del malware hace referencia directa al nombre de la empresa.
Además, las capturas de pantalla de los dispositivos de prueba del panel de administración coinciden con la ubicación de la sede de la empresa en Wuhan.
En cuanto a los operadores de software espía, Lookout afirma que los servidores C2 están vinculados a los dominios de las oficinas de seguridad pública, incluida la Oficina de Seguridad Pública de Yantai y su sucursal de Zhifu.
Los registros históricos de IP también muestran superposiciones con dominios utilizados por las oficinas de Dengfeng y Guiyang.
Finalmente, el nombre del panel de administración sugiere que lo utilizan habitualmente las fuerzas del orden u otras agencias gubernamentales.