Un logiciel espion Android précédemment non documenté appelé « EagleMsgSpy » a été découvert et serait utilisé par les forces de l’ordre en Chine pour surveiller les appareils mobiles.
Selon un nouveau rapport de Lookout, le logiciel espion a été développé par Wuhan Chinasoft Token Information Technology Co., Ltd. et est opérationnel depuis au moins 2017.
Lookout présente de nombreuses preuves reliant EagleMsgSpy à ses développeurs et opérateurs, y compris des adresses IP liées à des serveurs C2, des domaines, des références directes dans la documentation interne, ainsi que des contrats publics.
Les chercheurs ont également trouvé des indices sur l’existence d’une variante iOS. Cependant, ils n’ont pas encore accès à un échantillon pour analyse.
Puissant logiciel espion Android
Lookout pense que les forces de l’ordre installent manuellement le logiciel espion EagleMsgSpy lorsqu’elles ont un accès physique à des appareils déverrouillés. Cela pourrait être réalisé en confisquant l’appareil lors des arrestations, ce qui est courant dans les pays oppressifs.
Lookout n’a pas vu l’APK du programme d’installation sur Google Play ou sur des magasins d’applications tiers, de sorte que le logiciel espion n’est vraisemblablement distribué que par un petit cercle d’opérateurs.
Les versions ultérieures du malware échantillonnées par les analystes montrent des améliorations de l’obscurcissement du code et du cryptage, indiquant un développement actif.
Les activités de vol de données d’EagleMsgSpy comprennent le ciblage des éléments suivants:
- Les messages des applications de chat (QQ, Telegram, WhatsApp, etc.)
- Enregistrement d’écran, captures d’écran et enregistrements audio.
- Journaux d’appels, contacts, messages SMS.
- Localisation (GPS), activité réseau, applications installées.
- Signets du navigateur, fichiers de stockage externes.
Les données sont stockées temporairement dans un répertoire caché, cryptées, compressées et exfiltrées vers les serveurs de commande et de contrôle (C2).
Le malware dispose d’un panneau d’administration appelé « Système de jugement de maintenance de la stabilité. »
Le panneau permet aux opérateurs distants de lancer des activités en temps réel telles que le déclenchement d’enregistrements audio ou l’affichage de la répartition géographique et de l’échange de communication des contacts de la cible.
Derrière EagleMsgSpy
Lookout affirme avec une grande confiance que les créateurs d’Eagle Msg Spy sont Wuhan China soft Token Information Technology, liés au logiciel malveillant par des chevauchements dans l’infrastructure, la documentation interne et les enquêtes OSINT.
Par exemple, un domaine que l’entreprise utilise pour du matériel promotionnel (‘tzsafe[.] com’) apparaît également dans les chaînes de cryptage d’EagleMsgSpy, tandis que la documentation du malware fait directement référence au nom de l’entreprise.
De plus, les captures d’écran de l’appareil de test du panneau d’administration correspondent à l’emplacement du siège social de l’entreprise à Wuhan.
En ce qui concerne les opérateurs de logiciels espions, Lookout affirme que les serveurs C2 sont liés aux domaines des bureaux de la sécurité publique, y compris le Bureau de la sécurité publique de Yantai et sa succursale Zhifu.
Les enregistrements IP historiques montrent également des chevauchements avec les domaines utilisés par les bureaux de Dengfeng et de Guiyang.
Enfin, le nom du panneau d’administration suggère qu’il est systématiquement utilisé par les forces de l’ordre ou d’autres agences gouvernementales.