Investigadores de ciberseguridad han descubierto un novedoso programa de vigilancia que se sospecha que los departamentos de polic\u00eda chinos utilizan como herramienta de interceptaci\u00f3n legal para recopilar una amplia gama de informaci\u00f3n de dispositivos m\u00f3viles.<\/p>\n
La herramienta de Android, cuyo nombre en c\u00f3digo EagleMsgSpy de Lookout, ha estado operativa desde al menos 2017, con artefactos subido<\/a> a la plataforma de escaneo de malware VirusTotal el 25 de septiembre de 2024.<\/p>\n “El software de vigilancia consta de dos partes: un APK de instalaci\u00f3n y un cliente de vigilancia que se ejecuta sin cabeza en el dispositivo cuando se instala”, dijo Kristina Balaam, investigadora senior de inteligencia de amenazas de Lookout, en un informe t\u00e9cnico. informe<\/a> compartido con The Hacker News.<\/p>\n “EagleMsgSpy recopila una gran cantidad de datos del usuario: mensajes de chat de terceros, grabaciones de pantalla y capturas de pantalla, grabaciones de audio, registros de llamadas, contactos del dispositivo, mensajes SMS, datos de ubicaci\u00f3n, actividad de la red”.<\/p>\n EagleMsgSpy ha sido descrito por sus desarrolladores como un “producto integral de monitoreo judicial de tel\u00e9fonos m\u00f3viles” que puede obtener “informaci\u00f3n de los tel\u00e9fonos m\u00f3viles de los sospechosos en tiempo real a trav\u00e9s del control de la red sin el conocimiento del sospechoso, monitorear todas las actividades de los delincuentes con los tel\u00e9fonos m\u00f3viles y resumirlas”.<\/p>\n La empresa de ciberseguridad atribuy\u00f3 el programa de vigilancia a una empresa china llamada Wuhan Chinasoft Token Information Technology Co., Ltd. (tambi\u00e9n conocida como Wuhan Zhongruan Tongzheng Information Technology Co., Ltd y Wuhan ZRTZ Information Technology Co, Ltd.), citando superposici\u00f3n de infraestructura y referencias dentro el c\u00f3digo fuente.<\/p>\n Lookout dijo que los documentos internos de la compa\u00f1\u00eda que obtuvo de directorios abiertos en infraestructura controlada por atacantes insin\u00faan la posibilidad de un componente de iOS, aunque tales artefactos a\u00fan no se han descubierto en la naturaleza.<\/p>\n Lo notable de EagleMsgSpy es el hecho de que parece requerir acceso f\u00edsico a un dispositivo de destino para activar la operaci\u00f3n de recopilaci\u00f3n de informaci\u00f3n mediante la implementaci\u00f3n de un m\u00f3dulo de instalaci\u00f3n que luego es responsable de entregar la carga \u00fatil central, tambi\u00e9n conocida como MM o eagle_mm.<\/p>\n El cliente de vigilancia, por su parte, se puede adquirir a trav\u00e9s de diversos m\u00e9todos, como c\u00f3digos QR o mediante un dispositivo f\u00edsico que lo instala en el tel\u00e9fono cuando se conecta a un USB. Se cree que la herramienta mantenida activamente es utilizada por m\u00faltiples clientes del proveedor de software, dado que les exige proporcionar como entrada un “canal”, que corresponde a una cuenta.<\/p>\n La versi\u00f3n de Android de EagleMsgSpy est\u00e1 dise\u00f1ada para interceptar mensajes entrantes, recopilar datos de QQ, Telegram, Viber, WhatsApp y WeChat, iniciar la grabaci\u00f3n de pantalla utilizando la API Media Projection y realizar capturas de pantalla y grabaciones de audio.<\/p>\n Tambi\u00e9n est\u00e1 equipado para recopilar registros de llamadas, listas de contactos, coordenadas GPS, detalles sobre redes y conexiones Wi-Fi, archivos en almacenamiento externo, marcadores del navegador del dispositivo y una lista de aplicaciones instaladas en los dispositivos. Posteriormente, los datos acumulados se comprimen en archivos protegidos con contrase\u00f1a y se extraen a un servidor de comando y control (C2).<\/p>\n A diferencia de las primeras variantes de EagleMsgSpy que empleaban pocas t\u00e9cnicas de ofuscaci\u00f3n, las contrapartes recientes utilizan una herramienta de protecci\u00f3n de aplicaciones de c\u00f3digo abierto llamada ApkToolPlus<\/a> para ocultar clases. El m\u00f3dulo de vigilancia se comunica con el C2 a trav\u00e9s de WebSockets utilizando el PISAR MUY FUERTE<\/a> protocolo para proporcionar actualizaciones de estado y recibir m\u00e1s instrucciones.<\/p>\n “Los servidores EagleMsgSpy C2 albergan un panel administrativo que requiere autenticaci\u00f3n del usuario”, dijo Balaam. “Este panel administrativo se implementa utilizando el marco AngularJS, con enrutamiento y autenticaci\u00f3n configurados adecuadamente para evitar el acceso no autorizado a la extensa API de administraci\u00f3n”.<\/p>\n Es el c\u00f3digo fuente de este panel el que contiene funciones como “getListIOS()” para distinguir entre plataformas de dispositivos, en alusi\u00f3n a la existencia de una versi\u00f3n para iOS de la herramienta de vigilancia.<\/p>\n La investigaci\u00f3n de Lookout ha descubierto que el panel permite a los clientes, probablemente agencias policiales ubicadas en China continental, activar la recopilaci\u00f3n de datos en tiempo real desde los dispositivos infectados. Otro enlace que apunta a China es un n\u00famero de tel\u00e9fono codificado con sede en Wuhan especificado en varios ejemplos de EagleMsgSpy.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Se-ha-encontrado-software-espia-chino-EagleMsgSpy-explotando-dispositivos-moviles.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n