Eagle

EagleMsgSpy」と呼ばれる、これまで文書化されていなかったAndroidスパイウェアが発見され、中国の法執行機関がモバイルデバイスを監視するために使用しているとみられている。

Lookoutの新しいレポートによると、このスパイウェアはWuhan Chinasoft Token Information Technology Co., Ltd.によって開発され、少なくとも2017年から運用されています。

Lookoutは、C2サーバーに結びついたIPアドレス、ドメイン、内部文書での直接的な言及、また公的な契約など、EagleMsgSpyとその開発者や運営者を結びつける豊富な証拠を提示している。

研究者はまた、iOSの亜種の存在を示す手がかりも発見した。しかし、分析のためのサンプルへのアクセスはまだ得られていない。

強力なAndroidスパイウェア

Lookoutは、法執行機関がロックされていないデバイスに物理的にアクセスできる場合、EagleMsgSpyスパイウェアを手動でインストールすると考えている。これは、抑圧的な国では一般的なことですが、逮捕時にデバイスを没収することによって達成される可能性があります。

Lookoutは、Google PlayやサードパーティのアプリストアでインストーラAPKを確認していないため、スパイウェアはおそらく小さなサークルのオペレーターによってのみ配布されている。

EagleMsgSpy installer
EagleMsgSpy インストーラー
Source:ルックアウト

アナリストがサンプリングしたマルウェアの後続バージョンでは、コードの難読化と暗号化の改善が見られ、活発な開発が行われていることがうかがえる。

EagleMsgSpyのデータ窃盗活動には、以下をターゲットとするものが含まれます:

  • チャットアプリからのメッセージ(QQ、Telegram、WhatsAppなど)
  • 画面録画、スクリーンショット、音声録音
  • 通話ログ、連絡先、SMSメッセージ
  • 位置情報(GPS)、ネットワークアクティビティ、インストールされているアプリ。
  • ブラウザのブックマーク、外部ストレージファイル。

データは一時的に隠しディレクトリに保存され、暗号化、圧縮され、コマンド・アンド・コントロール(C2)サーバーに流出する。

このマルウェアは、”安定性維持判定システム “と呼ばれる管理者パネルを備えている。

このパネルにより、リモート・オペレーターは、音声記録をトリガーしたり、ターゲットの連絡先の地理的分布や通信交換を表示したりといったリアルタイム活動を開始することができる。

Initiating and accessing recordings from the panel
パネルからの録画の開始とアクセス
Source:ルックアウト

EagleMsgSpyの背景

Lookoutは、EagleMsgSpyの作成者はWuhan Chinasoft Token Information Technologyであり、インフラ、内部文書、OSINT調査の重複を通じてマルウェアと結びついていると高い確信を持って述べています。

例えば、同社が宣伝材料に使用しているドメイン(「tzsafe[.]com」)はEagleMsgSpyの暗号化文字列にも登場し、マルウェアのドキュメントには同社の名前が直接記載されています。

さらに、管理パネルからのテストデバイスのスクリーンショットは、武漢にある会社の登録オフィスの場所に対応しています。

スパイウェアの運営者について、Lookoutは、C2サーバーが煙台公安局およびそのZhifu Branchを含む公安局のドメインに関連していると主張している。

また、過去のIP記録には、登封と貴陽の局が使用するドメインとの重複が見られる。

最後に、管理パネルの名前は、法執行機関または他の政府機関によって組織的に使用されていることを示唆している。