Исследователи безопасности обнаружили новый инструмент наблюдения, который, по их словам, использовался китайскими правоохранительными органами для сбора конфиденциальной информации с устройств Android в Китае.
Инструмент под названием EagleMsgSpy был обнаружен исследователями американской компании по кибербезопасности Lookout. На конференции Black Hat Europe в среду компания заявила, что приобрела несколько вариантов шпионского ПО, которое, по ее словам, работает «по крайней мере с 2017 года».
Кристина Балаам, старший исследователь разведки в Lookout, рассказала TechCrunch, что шпионское ПО использовалось «многими» бюро общественной безопасности в материковом Китае для сбора «обширной» информации с мобильных устройств. Сюда входят журналы вызовов, контакты, координаты GPS, закладки и сообщения из сторонних приложений, включая Telegram и WhatsApp. Согласно исследованию Lookout, предоставленному TechCrunch, EagleMsgSpy также способен инициировать запись экрана на смартфонах и записывать аудиозаписи устройства во время его использования.
В руководстве, полученном Lookout, приложение описывается как «комплексный продукт для судебного мониторинга мобильных телефонов», который может получать «информацию о мобильных телефонах подозреваемых в режиме реального времени посредством контроля сети без ведома подозреваемого, отслеживать все действия преступников с помощью мобильных телефонов и обобщать их».
Валаам сказала, что благодаря перекрытию инфраструктуры она с «высокой уверенностью» оценивает, что EagleMsgSpy был разработан частной китайской технологической компанией Wuhan Chinasoft Token Information Technology. По ее словам, инфраструктура инструмента также показывает связи разработчика с бюро общественной безопасности — правительственными учреждениями, которые по сути действуют как местные полицейские участки — в материковом Китае.
Пока неизвестно, сколько человек или кто стали жертвами EagleMsgSpy. Валаам сказал, что этот инструмент, скорее всего, будет использоваться преимущественно для внутреннего наблюдения, но отметил, что «любой, кто приезжает в этот регион, может подвергнуться риску».
«Я думаю, если бы речь шла только о внутреннем наблюдении, они бы разместили свою инфраструктуру в каком-то месте, куда мы не могли бы получить доступ из Северной Америки», — сказал Валаам. «Я думаю, это дает нам некоторое представление о том, что они надеются иметь возможность отслеживать людей, если они уезжают, независимо от того, являются ли они гражданами Китая или нет».
Lookout сообщила, что также обнаружила два IP-адреса, связанных с EagleMsgSpy, которые использовались другими связанными с Китаем инструментами наблюдения, такими как CarbonSteal, который использовался в предыдущих кампаниях для нападения на тибетские и уйгурские общины.
Lookout отмечает, что EagleMsgSpy в настоящее время требует физического доступа к целевому устройству. Однако Валаам сообщил TechCrunch, что этот инструмент все еще находится в разработке, вплоть до конца 2024 года, и сказал, что «вполне возможно», что EagleMsgSpy можно модифицировать, чтобы он не требовал физического доступа.
Lookout отметила, что полученные ею внутренние документы намекают на существование еще не обнаруженной версии шпионского ПО для iOS.
