Cybersecurity-Forscher des Unternehmens Lookout haben eine sophisticated Überwachungssoftware namens EagleMsgSpy aufgedeckt, die seit 2017 für die umfassende Überwachung von Android-Geräten eingesetzt wird. Die Malware wurde erst am 25. September 2024 erstmals in der VirusTotal-Datenbank registriert, was auf eine lange Phase verdeckter Operationen hindeutet.
Technische Analyse und Ursprung der Spyware
Die forensische Untersuchung führt die Entwicklung von EagleMsgSpy auf das chinesische Unternehmen Wuhan Chinasoft Token Information Technology Co., Ltd. zurück. Die Attribution basiert auf einer Vielzahl technischer Indikatoren, darunter Command-and-Control-Server-Infrastruktur, Domain-Registrierungen und Referenzen in der technischen Dokumentation.
Funktionsumfang und Überwachungsmöglichkeiten
EagleMsgSpy zeichnet sich durch ein umfangreiches Arsenal an Überwachungsfunktionen aus:
– Präzise GPS-Standortverfolgung
– Vollständige Protokollierung der Kommunikation (Anrufe, SMS)
– Zugriff auf Messenger-Dienste
– Extraktion von Medieninhalten und Dokumenten
– Kontaktdatenerfassung
– Besonders kritisch: Möglichkeit zur heimlichen Audioaufzeichnung
Installationsmethodik und Verbreitungswege
Die Analyse des Installationsprozesses zeigt, dass EagleMsgSpy ausschließlich durch direkten physischen Zugriff auf entsperrte Geräte installiert werden kann. Das Fehlen der Malware in offiziellen App-Stores und die spezifische Installationsmethodik deuten auf einen gezielten Einsatz im Rahmen behördlicher Maßnahmen hin.
Infrastruktur und staatliche Verbindungen
Die Netzwerkanalyse offenbart Verbindungen zu zwei signifikanten IP-Adressen (202.107.80.34 und 119.36.193.210), die bereits bei früheren Überwachungsoperationen wie PluginPhantom und CarbonSteal identifiziert wurden. Diese technische Infrastruktur weist deutliche Überschneidungen mit Systemen chinesischer Sicherheitsbehörden auf.
Die Entdeckung von EagleMsgSpy unterstreicht die wachsende Sophistikation mobiler Überwachungstechnologien. Besondere Aufmerksamkeit verdienen Hinweise auf eine mögliche iOS-Variante der Spyware. Organisationen und Privatpersonen sollten ihre mobilen Sicherheitsmaßnahmen überprüfen und verstärken, insbesondere durch regelmäßige Sicherheitsupdates, strikte Zugriffskontrollen und den Einsatz von Mobile Threat Defense (MTD) Lösungen.
