Pesquisadores de cibersegurança descobriram um novo programa de vigilância suspeito de ser usado por departamentos de polícia chineses como uma ferramenta de interceptação legal para coletar uma ampla gama de informações de dispositivos móveis.
A ferramenta para Android, batizada de EagleMsgSpy pela Lookout, opera desde pelo menos 2017, com artefatos enviados para a plataforma de escaneamento de malware VirusTotal tão recentemente quanto 25 de setembro de 2024.
"O spyware de vigilância consiste em duas partes: um APK instalador e um cliente de vigilância que funciona de forma oculta no dispositivo quando instalado", disse Kristina Balaam, pesquisadora sênior de inteligência de ameaças da Lookout, em um relatório técnico compartilhado.
O EagleMsgSpy coleta uma vasta gama de dados do usuário: mensagens de chat de terceiros, gravação de tela e captura de screenshots, gravações de áudio, registros de chamadas, contatos do dispositivo, mensagens SMS, dados de localização, atividade de rede.
O EagleMsgSpy foi descrito por seus desenvolvedores como um "produto de monitoramento judicial de telefone celular abrangente" que pode obter "informações em tempo real do telefone celular de suspeitos através de controle de rede sem o conhecimento do suspeito, monitorar todas as atividades de telefone celular de criminosos e resumi-las."
A empresa de cibersegurança atribuiu o programa de vigilância a uma empresa chinesa chamada Wuhan Chinasoft Token Information Technology Co., Ltd. (também conhecida como Wuhan Zhongruan Tongzheng Information Technology Co., Ltd e Wuhan ZRTZ Information Technology Co, Ltd.), citando sobreposição de infraestrutura e referências dentro do código-fonte.
A Lookout disse que obteve documentos internos da empresa de diretórios abertos em infraestrutura controlada por atacantes, sugerindo a possibilidade de um componente iOS, embora tais artefatos ainda não tenham sido descobertos na prática.
O que é notável sobre o EagleMsgSpy é o fato de parecer requerer acesso físico ao dispositivo alvo para ativar a operação de coleta de informações, implementando um módulo instalador responsável por entregar o payload principal, também referida como MM ou eagle_mm.
O cliente de vigilância, por sua parte, pode ser adquirido por vários métodos, como códigos QR ou via um dispositivo físico que o instala no telefone quando conectado via USB.
Acredita-se que a ferramenta, mantida ativamente, é usada por múltiplos clientes do fornecedor de software, dado que exige que eles forneçam como entrada um "canal", que corresponde a uma conta.
A versão Android do EagleMsgSpy é projetada para interceptar mensagens recebidas, coletar dados de QQ, Telegram, Viber, WhatsApp e WeChat, iniciar gravação de tela usando a Media Projection API, e capturar screenshots e gravações de áudio.
Também está equipado para reunir registros de chamadas, listas de contatos, coordenadas GPS, detalhes sobre conexões de rede e Wi-Fi, arquivos em armazenamento externo, bookmarks do navegador do dispositivo, e uma lista de aplicativos instalados nos dispositivos.
Os dados amealhados são subsequentemente comprimidos em arquivos de arquivo protegidos por senha e exfiltrados para um servidor de comando e controle (C2).
Ao contrário das primeiras variantes do EagleMsgSpy que empregavam poucas técnicas de ofuscação, as contrapartes recentes usam uma ferramenta de proteção de aplicativos de código aberto chamada ApkToolPlus para ocultar classes.
O módulo de vigilância se comunica com o C2 através de WebSockets usando o protocolo STOMP para fornecer atualizações de status e receber novas instruções.
"Os servidores C2 do EagleMsgSpy hospedam um painel administrativo que requer autenticação do usuário", disse Balaam.
Este painel administrativo é implementado usando o framework AngularJS, com roteamento e autenticação configurados apropriadamente para prevenir acesso não autorizado à extensa API admin.
É este código fonte do painel que contém funções como "getListIOS()" para distinguir entre plataformas de dispositivos, aludindo à existência de uma versão iOS da ferramenta de vigilância.
A investigação da Lookout descobriu que o painel permite aos clientes, provavelmente agências de aplicação da lei localizadas na China Continental, disparar a coleta de dados em tempo real dos dispositivos infectados.
Outro link que aponta para a China é um número de telefone baseado em Wuhan especificado em várias amostras do EagleMsgSpy. que exploram os diversos métodos que podem ser usados para "coletar e analisar dados do cliente, como dados de certos tipos como registro de chamadas do telefone móvel do suspeito, mensagens curtas, uma agenda, software de chat instantâneo (QQ, WeChat, Momo, etc.) e assim por diante, e gerar um diagrama de relação entre o suspeito e outros."
Outra patente detalha um "método e sistema de coleta de evidências automático", indicando que a empresa por trás do EagleMsgSpy está principalmente focada no desenvolvimento de produtos que têm casos de uso na aplicação da lei.
"É possível que a empresa tenha incorporado as metodologias descritas em suas aplicações de patente – especialmente em casos nos quais alegam ter desenvolvido métodos únicos de criar diagramas de relação entre conjuntos de dados de vítimas", disse Balaam.
"No entanto, não temos visão de como a empresa processou os dados do lado do servidor que foram exfiltrados dos dispositivos das vítimas."
Além disso, a Lookout disse que identificou dois endereços IP associados aos certificados SSL C2 do EagleMsgSpy (202.107.80[.]34 e 119.36.193[.]210) que foram usados por outras ferramentas de vigilância vinculadas à China, como PluginPhantom e CarbonSteal, ambos utilizados para mirar nas comunidades tibetanas e uigures no passado.
"O malware é colocado nos dispositivos das vítimas e configurado por meio do acesso ao dispositivo vítima desbloqueado," disse a empresa.
Uma vez instalado, o payload oculta roda em segundo plano, escondendo suas atividades do usuário do dispositivo e coleta uma vasta gama de dados do usuário.
Chamadas para propostas públicas para sistemas similares indicam que essa ferramenta de vigilância ou sistemas análogos estão em uso por muitos bureaus de segurança pública na China.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...