Компанія Lookout, що спеціалізується на кібербезпеці, виявила нове складне шпигунське програмне забезпечення EagleMsgSpy, яке використовується для всебічного моніторингу пристроїв на базі Android. Дослідження показало, що це ПЗ активно застосовується правоохоронними органами Китаю з 2017 року, залишаючись непоміченим для більшості систем безпеки.
Технічний аналіз та походження EagleMsgSpy
За результатами розслідування, розробником шпигунського ПЗ виступає китайська компанія Wuhan Chinasoft Token Information Technology Co., Ltd. Експерти виявили численні технічні докази, включаючи IP-адреси командних серверів та доменні імена, що безпосередньо пов’язують малвар із цією організацією. Особливу увагу привертає факт, що перші зразки шкідливого ПЗ потрапили до бази даних VirusTotal лише 25 вересня 2024 року, що свідчить про тривалий період прихованої експлуатації.
Можливості та механізми проникнення
EagleMsgSpy демонструє вражаючий набір функцій для збору конфіденційних даних з цільових пристроїв. Після успішного встановлення, програма отримує доступ до:
– GPS-координат та історії переміщень
– Журналів телефонних дзвінків і повідомлень
– Листування в популярних месенджерах
– Мультимедійних файлів та документів
– Адресної книги
– Можливості віддаленого аудіозапису через мікрофон пристрою
Інфраструктура та державні зв’язки
Дослідження мережевої інфраструктури виявило прямі зв’язки між командними серверами EagleMsgSpy та доменами китайського Бюро громадської безпеки. Два ключових IP-адреси (202.107.80.34 та 119.36.193.210) раніше використовувалися іншими інструментами кіберстеження, такими як PluginPhantom та CarbonSteal, що підтверджує державну приналежність програми.
Виявлення EagleMsgSpy підкреслює зростаючу складність інструментів мобільного стеження та необхідність посилення заходів кібербезпеки. Особливе занепокоєння викликають знайдені в документації згадки про можливу версію для iOS-пристроїв. Це вказує на необхідність підвищеної пильності користувачів мобільних пристроїв та впровадження комплексних заходів захисту персональних даних незалежно від використовуваної операційної системи.
