Eksperci ostrzegają: nowa forma oprogramowania szpiegowskiego dla urządzeń mobilnych
Odkryto nowe oprogramowanie szpiegowskie, które według specjalistów ds. cyberbezpieczeństwa, wykorzystywane jest przez chińskie organy ścigania jako narzędzie do przechwytywania danych z urządzeń mobilnych. Aplikacja o nazwie kodowej EagleMsgSpy została zidentyfikowana jako wysoce zaawansowane narzędzie służące do monitorowania działań użytkowników bez ich wiedzy. Jej działanie sięga przynajmniej 2017 roku, a ostatnie artefakty pochodzą z platformy VirusTotal, gdzie były przesyłane aż do września 2024 roku.
Mechanizmy działania EagleMsgSpy
Oprogramowanie składa się z dwóch kluczowych elementów: instalacyjnego pliku APK oraz ukrytego modułu szpiegowskiego, który uruchamia się na urządzeniu po instalacji. Ta funkcjonalność pozwala na uzyskanie szczegółowych informacji, takich jak wiadomości z aplikacji czatowych, nagrania ekranu i audio, rejestry połączeń, kontakty, wiadomości SMS, dane geolokalizacyjne oraz aktywność sieciową. Eksperci wskazują, że narzędzie zostało opisane przez jego twórców jako „kompleksowe rozwiązanie do monitorowania mobilnego”, które umożliwia zbieranie danych w czasie rzeczywistym z urządzeń podejrzanych osób.
EagleMsgSpy nie działa jednak całkowicie zdalnie. Co ciekawe, aby zaimplementować je na urządzeniu, konieczny jest fizyczny dostęp do niego. Proces ten odbywa się poprzez instalację modułu APK odpowiedzialnego za uruchomienie głównego ładunku szpiegowskiego, znanego jako MM lub eagle_mm. Dzięki tej strukturze, oprogramowanie jest w stanie przechwytywać informacje z popularnych aplikacji takich jak QQ, WeChat, Telegram, WhatsApp oraz Viber, jak i aktywować funkcje nagrywania ekranu. Zbierane dane są następnie kompresowane i przesyłane na serwer dowodzenia (C2).
Bezprecedensowy poziom szczegółowości
Oprogramowanie jest zaprojektowane tak, by działać w tle, bez widocznych śladów swojej aktywności, a metody jego instalacji obejmują m.in. użycie kodów QR oraz podłączanie urządzeń przy pomocy kabla USB. Użytkownik końcowy pozostaje nieświadomy, że jego urządzenie zostało poddane inwigilacji. Funkcje aplikacji zostały dodatkowo zabezpieczone przy użyciu narzędzi takich jak ApkToolPlus, które pomagają ukrywać kod źródłowy.
Dodatkowym aspektem EagleMsgSpy jest możliwość przechwytywania danych dotyczących sieci Wi-Fi i połączeń, listy aplikacji zainstalowanych na urządzeniu, plików przechowywanych na zewnętrznych nośnikach oraz zakładek zapisanych w przeglądarkach. Oprogramowanie jest także w stanie śledzić lokalizację w czasie rzeczywistym, co jeszcze bardziej zwiększa jego skuteczność jako narzędzie do monitorowania osób wskazanych przez służby.
Chińskie pochodzenie oprogramowania
Firma Lookout, zajmująca się zagadnieniami bezpieczeństwa w cyfrowym świecie, powiązała twórców EagleMsgSpy z chińską firmą Wuhan Chinasoft Token Information Technology Co., Ltd., znaną również pod nazwami Wuhan Zhongruan Tongzheng Information Technology Co., Ltd. oraz Wuhan ZRTZ Information Technology Co., Ltd. Tę zależność ustalono na podstawie analizy kodu źródłowego oraz infrastruktury, na której program operuje.
Co ciekawe, analiza wskazuje również na istnienie potencjalnych elementów oprogramowania, które mogłyby działać na urządzeniach z systemem iOS. Choć żadnych takich wersji jeszcze nie zidentyfikowano w „dzikiej naturze”, dokumenty wewnętrzne firmy sugerują, że podobna funkcjonalność została opracowana lub jest w trakcie tworzenia. Wyniki analizy pokazują także, że EagleMsgSpy wykorzystuje zaawansowane serwery kontrolne połączone z panelem administracyjnym dostępnym tylko dla autoryzowanych użytkowników.
Powiązania z chińskimi organami bezpieczeństwa
EagleMsgSpy jest najprawdopodobniej wykorzystywane przez publiczne biura bezpieczeństwa w Chinach. Używane jest do monitorowania komunikacji oraz działań podejrzanych osób na potrzeby organów ścigania. Wzmianka o chińskim mieście Wuhan, która pojawia się w kodzie źródłowym aplikacji, dodatkowo podkreśla regionalne powiązania z twórcami tego oprogramowania. Narzędzie ma także powiązania z innymi programami szpiegowskimi, takimi jak PluginPhantom i CarbonSteal, które wcześniej zidentyfikowano jako środki inwigilacji mniejszości narodowych, takich jak Tybetańczycy i Ujgurowie.
Implikacje i zagrożenia
Zidentyfikowanie tak zaawansowanego narzędzia inwigilacyjnego jak EagleMsgSpy rodzi liczne pytania dotyczące prywatności oraz granic, jakie państwa mogą przekraczać w imię bezpieczeństwa publicznego. Chociaż oprogramowanie to zostało zaprojektowane z myślą o działaniach śledczych i w teorii powinno pomagać w walce z przestępczością, jego potencjalne nadużycia pozostawiają wiele do życzenia. Zbieranie danych w takiej skali, w połączeniu z możliwością przechwytywania niemal każdej formy komunikacji, czyni z EagleMsgSpy narzędzie, które może być używane nie tylko do law enforcement, ale również do tłumienia wolności obywatelskich.
