Pesquisadores de cibersegurança descobriram um novo programa de vigilância, suspeito de ser utilizado por departamentos policiais chineses como ferramenta de interceptação legal para coletar uma ampla gama de informações de dispositivos móveis.
A ferramenta Android, codinome EagleMsgSpy pela Lookout, está em operação desde pelo menos 2017, com artefatos carregados na plataforma de escaneamento de malware VirusTotal até tão recentemente quanto 25 de setembro de 2024.
"O software de vigilância é composto por duas partes: um APK de instalação e um cliente de vigilância que é executado sem interface no dispositivo após a instalação", disse Kristina Balaam, pesquisadora sênior de inteligência de ameaças da Lookout, em um relatório técnico.
"EagleMsgSpy coleta dados extensivos do usuário: mensagens de bate-papo de terceiros, gravação de tela e captura de screenshots, gravações de áudio, registros de chamadas, contatos do dispositivo, mensagens SMS, dados de localização e atividade de rede."
EagleMsgSpy foi descrito por seus desenvolvedores como um "produto abrangente de monitoramento judicial de telefones móveis" que pode obter "informações em tempo real do telefone móvel de suspeitos através do controle de rede sem o conhecimento do suspeito, monitorar todas as atividades do telefone móvel de criminosos e resumir essas atividades."
A empresa de cibersegurança atribuiu o programa de vigilância a uma companhia chinesa chamada Wuhan Chinasoft Token Information Technology Co., Ltd. (também conhecida como Wuhan Zhongruan Tongzheng Information Technology Co., Ltd. e Wuhan ZRTZ Information Technology Co, Ltd.), citando sobreposição de infraestrutura e referências no código-fonte.
Lookout mencionou que documentos internos da empresa, obtidos de diretórios abertos em infraestruturas controladas por atacantes, sugerem a possibilidade de um componente para iOS, embora tais artefatos ainda não tenham sido encontrados na natureza.
O notável sobre o EagleMsgSpy é que ele parece exigir acesso físico ao dispositivo alvo para ativar a operação de coleta de informações. Isso é feito através da implantação de um módulo de instalação que é responsável por entregar a carga útil principal, também conhecida como MM ou eagle_mm.
O cliente de vigilância pode ser obtido por diversos métodos, como códigos QR ou através de um dispositivo físico que instala o software no telefone quando conectado via USB.
Acredita- se que a ferramenta, que é mantida ativamente, seja usada por múltiplos clientes do fornecedor de software, uma vez que exige que eles forneçam um "canal" como entrada, que corresponde a uma conta.
A versão para Android do EagleMsgSpy é projetada para interceptar mensagens recebidas, coletar dados de QQ, Telegram, Viber, WhatsApp e WeChat, iniciar gravação de tela usando a API de Projeção de Mídia, e capturar screenshots e gravações de áudio.
Além disso, está equipado para coletar registros de chamadas, listas de contatos, coordenadas GPS, detalhes sobre conexões de rede e Wi-Fi,
arquivos em armazenamento externo, favoritos do navegador do dispositivo e uma lista de aplicativos instalados. Os dados coletados são então compactados em arquivos de arquivo protegidos por senha e exfiltrados para um servidor de comando e controle (C2).
Ao contrário das versões iniciais do EagleMsgSpy, que usavam poucas técnicas de ofuscação, as versões recentes utilizam uma ferramenta de proteção de aplicativo de código aberto chamada ApkToolPlus para ocultar parte do código. O módulo de vigilância se comunica com o C2 através de WebSockets usando o protocolo STOMP para fornecer atualizações de status e receber novas instruções.
"Os servidores C2 do EagleMsgSpy hospedam um painel administrativo que requer autenticação de usuário", disse Balaam. "Este painel administrativo é implementado usando o framework AngularJS, com roteamento e autenticação configurados de forma adequada para prevenir o acesso não autorizado à extensa API de administração."
É neste código-fonte do painel que funções como "getListIOS()" são encontradas, indicando a existência de uma versão para iOS da ferramenta de vigilância.
A investigação da Lookout descobriu que o painel permite que os clientes, provavelmente agências de aplicação da lei localizadas na China Continental, acionem a coleta de dados em tempo real a partir dos dispositivos infectados. Outro vínculo com a China é um número de telefone de Wuhan codificado em várias amostras do EagleMsgSpy.
Também foram identificados várias aplicações de patente apresentadas pela Wuhan ZRTZ Information Technology Co, Ltd., que exploram diversos métodos para "coletar e analisar dados do cliente como registros de chamadas do telefone móvel do suspeito, mensagens curtas, agenda de contatos, softwares de chat instantâneo (QQ, WeChat, Momo, etc.) e assim por diante, gerando um diagrama de relações entre o suspeito e outras pessoas."
Outra patente detalha um "método e sistema automático de coleta de evidências", indicando que a empresa por trás do EagleMsgSpy está focada primariamente no desenvolvimento de produtos com casos de uso para aplicação da lei.
"É possível que a empresa tenha incorporado as metodologias descritas em suas aplicações de patente – especialmente em casos onde afirmam ter desenvolvido métodos únicos para criar diagramas de relação entre conjuntos de dados das vítimas", disse Balaam. "No entanto, não temos insights sobre como a empresa processou os dados no servidor que foram exfiltrados dos dispositivos das vítimas."
Além disso, a Lookout identificou dois endereços IP ligados aos certificados SSL do C2 do EagleMsgSpy (202.107.80[.]34 e 119.36.193[.]210) que foram usados por outras ferramentas de vigilância chinesas como PluginPhantom e CarbonSteal, ambas utilizadas anteriormente para atingir comunidades tibetanas e uigures.
"O malware é colocado nos dispositivos das vítimas e configurado através do acesso ao dispositivo da vítima desbloqueado", disse a empresa. "Uma vez instalado, a carga útil sem interface roda em segundo plano, ocultando suas atividades do usuário do dispositivo e coletando dados extensivos. CFPs públicos para sistemas semelhantes indicam que esta ferramenta de vigilância ou sistemas análogos estão em uso por muitos órgãos de segurança pública na China."
Via - THN
Comments