Investigadores de ciberseguridad han descubierto un novedoso programa de vigilancia que se sospecha que los departamentos de policía chinos utilizan como herramienta de interceptación legal para recopilar una amplia gama de información de dispositivos móviles.
La herramienta de Android, cuyo nombre en código EagleMsgSpy de Lookout, ha estado operativa desde al menos 2017, con artefactos subido a la plataforma de escaneo de malware VirusTotal el 25 de septiembre de 2024.
“El software de vigilancia consta de dos partes: un APK de instalación y un cliente de vigilancia que se ejecuta sin cabeza en el dispositivo cuando se instala”, dijo Kristina Balaam, investigadora senior de inteligencia de amenazas de Lookout, en un informe técnico. informe compartido con The Hacker News.
“EagleMsgSpy recopila una gran cantidad de datos del usuario: mensajes de chat de terceros, grabaciones de pantalla y capturas de pantalla, grabaciones de audio, registros de llamadas, contactos del dispositivo, mensajes SMS, datos de ubicación, actividad de la red”.
EagleMsgSpy ha sido descrito por sus desarrolladores como un “producto integral de monitoreo judicial de teléfonos móviles” que puede obtener “información de los teléfonos móviles de los sospechosos en tiempo real a través del control de la red sin el conocimiento del sospechoso, monitorear todas las actividades de los delincuentes con los teléfonos móviles y resumirlas”.
La empresa de ciberseguridad atribuyó el programa de vigilancia a una empresa china llamada Wuhan Chinasoft Token Information Technology Co., Ltd. (también conocida como Wuhan Zhongruan Tongzheng Information Technology Co., Ltd y Wuhan ZRTZ Information Technology Co, Ltd.), citando superposición de infraestructura y referencias dentro el código fuente.
Lookout dijo que los documentos internos de la compañía que obtuvo de directorios abiertos en infraestructura controlada por atacantes insinúan la posibilidad de un componente de iOS, aunque tales artefactos aún no se han descubierto en la naturaleza.
Lo notable de EagleMsgSpy es el hecho de que parece requerir acceso físico a un dispositivo de destino para activar la operación de recopilación de información mediante la implementación de un módulo de instalación que luego es responsable de entregar la carga útil central, también conocida como MM o eagle_mm.
El cliente de vigilancia, por su parte, se puede adquirir a través de diversos métodos, como códigos QR o mediante un dispositivo físico que lo instala en el teléfono cuando se conecta a un USB. Se cree que la herramienta mantenida activamente es utilizada por múltiples clientes del proveedor de software, dado que les exige proporcionar como entrada un “canal”, que corresponde a una cuenta.
La versión de Android de EagleMsgSpy está diseñada para interceptar mensajes entrantes, recopilar datos de QQ, Telegram, Viber, WhatsApp y WeChat, iniciar la grabación de pantalla utilizando la API Media Projection y realizar capturas de pantalla y grabaciones de audio.
También está equipado para recopilar registros de llamadas, listas de contactos, coordenadas GPS, detalles sobre redes y conexiones Wi-Fi, archivos en almacenamiento externo, marcadores del navegador del dispositivo y una lista de aplicaciones instaladas en los dispositivos. Posteriormente, los datos acumulados se comprimen en archivos protegidos con contraseña y se extraen a un servidor de comando y control (C2).
A diferencia de las primeras variantes de EagleMsgSpy que empleaban pocas técnicas de ofuscación, las contrapartes recientes utilizan una herramienta de protección de aplicaciones de código abierto llamada ApkToolPlus para ocultar clases. El módulo de vigilancia se comunica con el C2 a través de WebSockets utilizando el PISAR MUY FUERTE protocolo para proporcionar actualizaciones de estado y recibir más instrucciones.
“Los servidores EagleMsgSpy C2 albergan un panel administrativo que requiere autenticación del usuario”, dijo Balaam. “Este panel administrativo se implementa utilizando el marco AngularJS, con enrutamiento y autenticación configurados adecuadamente para evitar el acceso no autorizado a la extensa API de administración”.
Es el código fuente de este panel el que contiene funciones como “getListIOS()” para distinguir entre plataformas de dispositivos, en alusión a la existencia de una versión para iOS de la herramienta de vigilancia.
La investigación de Lookout ha descubierto que el panel permite a los clientes, probablemente agencias policiales ubicadas en China continental, activar la recopilación de datos en tiempo real desde los dispositivos infectados. Otro enlace que apunta a China es un número de teléfono codificado con sede en Wuhan especificado en varios ejemplos de EagleMsgSpy.
Las noticias del hacker también identificado múltiples solicitudes de patente presentadas por Wuhan ZRTZ Information Technology Co, Ltd. que profundizan en los diversos métodos que se pueden utilizar para “recopilar y analizar datos de clientes, como datos de ciertos tipos, como registros de llamadas del teléfono móvil del sospechoso, mensajes cortos, una dirección libro, software de chat instantáneo (QQ, WeChat, Momo, etc.), etc., y generar un diagrama de relación entre el sospechoso y los demás”.
Otra patente detalla un “método y sistema automático de recopilación de pruebas”, lo que indica que la empresa detrás de EagleMsgSpy se centra principalmente en el desarrollo de productos que tienen casos de uso para el cumplimiento de la ley.
“Es posible que la empresa haya incorporado las metodologías descritas en sus solicitudes de patente, especialmente en los casos en los que afirman haber desarrollado métodos únicos para crear diagramas de relaciones entre conjuntos de datos de víctimas”, dijo Balaam a The Hacker News. “Sin embargo, no tenemos idea de cómo la empresa procesó los datos del lado del servidor que fueron extraídos de los dispositivos de las víctimas”.
Es más, Lookout dijo que identificó dos direcciones IP vinculadas a certificados SSL EagleMsgSpy C2 (202.107.80[.]34 y 119.36.193[.]210) que han sido utilizadas por otras herramientas de vigilancia vinculadas a China, como PluginPhantom y CarbonSteal, las cuales se han utilizado para atacar a las comunidades tibetanas y uigures en el pasado.
“El malware se coloca en los dispositivos de la víctima y se configura mediante el acceso al dispositivo de la víctima desbloqueado”, dijo la compañía. “Una vez instalada, la carga útil sin cabeza se ejecuta en segundo plano, ocultando sus actividades al usuario del dispositivo y recopila una gran cantidad de datos del usuario. Los CFP públicos para sistemas similares indican que muchas oficinas de seguridad pública utilizan esta herramienta de vigilancia o sistemas análogos. en China.”
About the Author
