Pegasus nie jest jedyny – odkryto nowy szpiegowski malware

W Polsce niewątpliwie najbardziej znanym systemem cyfrowej inwigilacji jest Pegasus. Zakupiony ze środków Funduszy Sprawiedliwości jako narzędzie do walki z przestępczością, a użyty do walki z politykami opozycyjnych partii i działaczami na rzecz praworządności, zyskał złą sławę. Pegasus jednak nie jest jedyny. Lookout zidentyfikował nowe oprogramowanie do inwigilacji, wykorzystywane przez służby w Chinach.
Pegasus nie jest jedyny – odkryto nowy szpiegowski malware

Malware EagleMsgSpy, chiński krewny Pegasusa

Lookout wykrył całą gamę narzędzi do inwigilacji, którą przypisał do rodziny nazwanej EagleMsgSpy – pozyskano kilka wariantów pracujących w systemie Android, lecz odnaleziono także wskazówki, które mogą dowodzić istnienia wersji pracującej w systemie iOS.

EagleMsgSpy wykorzystywany jest przez chińskie służby państwowe do zbierania informacji z urządzeń mobilnych, a pierwsze wersje powstały prawdopodobnie w okolicach 2017 roku. Mechanizm instalacji wymaga najprawdopodobniej fizycznego dostępu do odblokowanego urządzenia i wykonania odpowiedniej procedury przez funkcjonariuszy organów ścigania – nie ma tu mowy o zautomatyzowanym ataku wykorzystującym systemowe luki, czyli scenariuszu znanym z Pegasusa. Po instalacji w systemie pracuje ukryty moduł nadzoru, który ma dostęp do w zasadzie wszystkich ważnych danych.

Badacze Loookout ustalili, że narzędzie instalacyjne cechuje się pewną elastycznością, wskazującą na to, że może być wykorzystywane przez różne służby – podczas instalacji należy podać kanał kontrolny, wykorzystywany przez oprogramowanie do komunikacji. Kolejne warianty EagleMsgSpy wykazują coraz lepsze możliwości maskowania się w systemie i szyfrowania swoich danych do swojej ochrony.

Działający EagleMsgSpy jest w stanie przechwytywać naprawdę szeroki zestaw danych. Lookout ustalił następującą listę tego, co potrafi oprogramowanie szpiegowskie.

  • Notification Listener i Accessibility Services monitorują korzystanie z urządzenia i przechwytują przychodzące wiadomości
  • Przechwytuje wiadomości z komunikatorów QQ, Telegram, Viber, WhatsApp i WeChat, być może także z innych.
  • Nagrywa zawartość ekranu i działania na nim za pośrednictwem usługi Media Projection
  • Przechwytuje zrzuty ekranu
  • Rejestruje dane audio z mikrofonu urządzenia
  • Zapisuje dzienniki połączeń
  • Zapisuje listy kontaktów z urządzenia
  • Zapisuje wiadomości SMS
  • Tworzy listę aplikacji zainstalowanych na urządzeniu
  • Monitoruje lokalizację urządzenia na podstawie GPS
  • Zapisuje szczegółowy rejestr połączeń Wi-Fi i sieciowych
  • Tworzy listę plików w pamięci zewnętrznej
  • Zapisuje listę zakładek z przeglądarki urządzenia

Zgromadzone dane są kompresowane, szyfrowane i składowane w ukrytym katalogu, zabezpieczone przed ewentualnym wykryciem, a następnie przesyłane do wskazanego podczas instalacji serwera kontrolującego nadzór. Badacze z Lokooout zdołali także uzyskać ograniczony dostęp do panelu administracyjnego części nadzorczej, zdobyli też część dokumentacji oprogramowania szpiegowskiego. Dzięki zgromadzonym danym zdołano zidentyfikować m.in. ścieżkę ataku – W Google Play ani App Store na razie nie spotkamy się ze spreparowanym oprogramowaniem.