​⚡️Смартфон-информатор: раскрыта невидимая система слежки EagleMsgSpy 💬 Специалисты Lookout Threat Lab обнаружили семейство шпионского ПО EagleMsgSpy, используемое полицией Китая для сбора данных с мобильных устройств. Программа ориентирована на Android, документы также указывают на существование iOS-версии, которая пока не найдена. EagleMsgSpy функционирует с 2017 года и требует физического доступа к устройству для установки. Установочный компонент разворачивает скрытый модуль для наблюдения. Распространение осуществляется исключительно через физический доступ, так как приложение отсутствует в Google Play и других магазинах. После запуска предлагается выбрать параметры установки и предоставляются дополнительные разрешения для шпионского модуля. Наличие механизма выбора «канала» указывает на возможность использования ПО различными клиентами, а эволюция методов шифрования подтверждает активное развитие и поддержку продукта. Собираемая информация включает: перехват сообщений через службы уведомлений и доступности; сбор данных из мессенджеров QQ, Telegram, WhatsApp и WeChat; записи экрана и создание скриншотов; аудиозаписи во время работы устройства; доступ к журналам вызовов, контактам, SMS, GPS-координатам и списку установленных приложений; анализ сетевых соединений и внешнего хранилища; сбор закладок браузера. Данные сохраняются в скрытой директории, сжимаются и защищаются паролем перед отправкой на сервер управления. Для удаленного управления шпионской программой используется панель администратора под названием Stability Maintenance Judgment System, в которой администраторы могут в реальном времени собирать фото и скриншоты, блокировать вызовы и сообщения, записывать звук, а также анализировать данные, включая географическое распределение контактов и частоту общения. Исследователи Lookout установили связь между инфраструктурой серверов EagleMsgSpy и китайской компанией Wuhan Chinasoft Token Information Technology. Промоматериалы компании содержат упоминание домена tzsafe[.]com, который также используется в шпионском модуле. Дополнительно, IP-адреса серверов связаны с доменами государственных структур, включая местные управления общественной безопасности Китая. Ранние версии EagleMsgSpy содержали жестко прописанные IP-адреса, совпадающие с доменами публичных сайтов бюро общественной безопасности. Контракты на разработку аналогичных систем, доступные в открытых источниках, подтверждают, что EagleMsgSpy — лишь одна из множества подобных систем, используемых правоохранительными органами. Также инфраструктура EagleMsgSpy пересекается с другими китайскими шпионскими программами, такими как PluginPhantom и CarbonSteal, которые ранее использовались против этнических меньшинств в Китае. 🔔 ITsec NEWS