Malware EagleMsgSpy, chiński krewny Pegasusa
Lookout wykrył całą gamę narzędzi do inwigilacji, którą przypisał do rodziny nazwanej EagleMsgSpy – pozyskano kilka wariantów pracujących w systemie Android, lecz odnaleziono także wskazówki, które mogą dowodzić istnienia wersji pracującej w systemie iOS.
EagleMsgSpy wykorzystywany jest przez chińskie służby państwowe do zbierania informacji z urządzeń mobilnych, a pierwsze wersje powstały prawdopodobnie w okolicach 2017 roku. Mechanizm instalacji wymaga najprawdopodobniej fizycznego dostępu do odblokowanego urządzenia i wykonania odpowiedniej procedury przez funkcjonariuszy organów ścigania – nie ma tu mowy o zautomatyzowanym ataku wykorzystującym systemowe luki, czyli scenariuszu znanym z Pegasusa. Po instalacji w systemie pracuje ukryty moduł nadzoru, który ma dostęp do w zasadzie wszystkich ważnych danych.
Badacze Loookout ustalili, że narzędzie instalacyjne cechuje się pewną elastycznością, wskazującą na to, że może być wykorzystywane przez różne służby – podczas instalacji należy podać kanał kontrolny, wykorzystywany przez oprogramowanie do komunikacji. Kolejne warianty EagleMsgSpy wykazują coraz lepsze możliwości maskowania się w systemie i szyfrowania swoich danych do swojej ochrony.
Działający EagleMsgSpy jest w stanie przechwytywać naprawdę szeroki zestaw danych. Lookout ustalił następującą listę tego, co potrafi oprogramowanie szpiegowskie.
- Notification Listener i Accessibility Services monitorują korzystanie z urządzenia i przechwytują przychodzące wiadomości
- Przechwytuje wiadomości z komunikatorów QQ, Telegram, Viber, WhatsApp i WeChat, być może także z innych.
- Nagrywa zawartość ekranu i działania na nim za pośrednictwem usługi Media Projection
- Przechwytuje zrzuty ekranu
- Rejestruje dane audio z mikrofonu urządzenia
- Zapisuje dzienniki połączeń
- Zapisuje listy kontaktów z urządzenia
- Zapisuje wiadomości SMS
- Tworzy listę aplikacji zainstalowanych na urządzeniu
- Monitoruje lokalizację urządzenia na podstawie GPS
- Zapisuje szczegółowy rejestr połączeń Wi-Fi i sieciowych
- Tworzy listę plików w pamięci zewnętrznej
- Zapisuje listę zakładek z przeglądarki urządzenia
Zgromadzone dane są kompresowane, szyfrowane i składowane w ukrytym katalogu, zabezpieczone przed ewentualnym wykryciem, a następnie przesyłane do wskazanego podczas instalacji serwera kontrolującego nadzór. Badacze z Lokooout zdołali także uzyskać ograniczony dostęp do panelu administracyjnego części nadzorczej, zdobyli też część dokumentacji oprogramowania szpiegowskiego. Dzięki zgromadzonym danym zdołano zidentyfikować m.in. ścieżkę ataku – W Google Play ani App Store na razie nie spotkamy się ze spreparowanym oprogramowaniem.