Cybersecurity-onderzoekers hebben een nieuw surveillanceprogramma ontdekt waarvan wordt vermoed dat het door de Chinese politiediensten wordt gebruikt als een wettig onderscheppingsinstrument om een breed scala aan informatie van mobiele apparaten te verzamelen.
De Android-tool, met de codenaam EagleMsgSpy van Lookout, is in ieder geval sinds 2017 operationeel, met artefacten die pas op 25 september 2024 naar het VirusTotal-malwarescanplatform zijn geüpload.
“De surveillanceware bestaat uit twee delen: een APK-installatieprogramma en een surveillanceclient die na installatie hoofdloos op het apparaat draait”, zegt Kristina Bileam, senior onderzoeker op het gebied van bedreigingsinformatie bij Lookout, in een technisch rapport gedeeld met The Hacker News.
“EagleMsgSpy verzamelt uitgebreide gegevens van de gebruiker: chatberichten van derden, schermopname en screenshot-opname, audio-opnamen, oproeplogboeken, apparaatcontacten, sms-berichten, locatiegegevens, netwerkactiviteit.”
EagleMsgSpy is door de ontwikkelaars beschreven als een “alomvattend product voor gerechtelijk toezicht op mobiele telefoons” dat “real-time mobiele telefooninformatie van verdachten kan verkrijgen via netwerkcontrole zonder medeweten van de verdachte, alle mobiele telefoonactiviteiten van criminelen kan volgen en deze kan samenvatten.”
Het cyberbeveiligingsbedrijf schreef het surveillanceprogramma toe aan een Chinees bedrijf genaamd Wuhan Chinasoft Token Information Technology Co., Ltd. (ook bekend als Wuhan Zhongruan Tongzheng Information Technology Co., Ltd en Wuhan ZRTZ Information Technology Co, Ltd.), daarbij verwijzend naar overlap van de infrastructuur en verwijzingen binnen de broncode.
Lookout zei dat de interne documenten van het bedrijf die het heeft verkregen uit open mappen op door aanvallers gecontroleerde infrastructuur wijzen op de mogelijkheid van een iOS-component, hoewel dergelijke artefacten nog in het wild moeten worden ontdekt.
Wat opmerkelijk is aan EagleMsgSpy is het feit dat het fysieke toegang tot een doelapparaat lijkt te vereisen om de informatieverzamelingsoperatie te activeren door een installatiemodule in te zetten die vervolgens verantwoordelijk is voor het leveren van de kernlading, ook wel MM of eagle_mm genoemd.
De surveillanceclient kan op zijn beurt worden verkregen via verschillende methoden, zoals QR-codes of via een fysiek apparaat dat het op de telefoon installeert wanneer het is aangesloten op USB. Er wordt aangenomen dat de actief onderhouden tool door meerdere klanten van de softwareleverancier wordt gebruikt, aangezien deze vereist dat ze als invoer een ‘kanaal’ opgeven dat overeenkomt met een account.
De Android-versie van EagleMsgSpy is ontworpen om inkomende berichten te onderscheppen, gegevens van QQ, Telegram, Viber, WhatsApp en WeChat te verzamelen, schermopnamen te starten met behulp van de Media Projection API en schermafbeeldingen en audio-opnamen te maken.
Het is ook uitgerust om oproeplogboeken, contactlijsten, GPS-coördinaten, details over netwerk- en Wi-Fi-verbindingen, bestanden in externe opslag, bladwijzers van de apparaatbrowser en een lijst met geïnstalleerde applicaties op de apparaten te verzamelen. De verzamelde gegevens worden vervolgens gecomprimeerd in met een wachtwoord beveiligde archiefbestanden en geëxfiltreerd naar een command-and-control (C2)-server.
In tegenstelling tot vroege varianten van EagleMsgSpy die weinig verduisteringstechnieken gebruikten, gebruiken de recente tegenhangers een open-source applicatiebeschermingstool genaamd ApkToolPlus om klassen te verbergen. De bewakingsmodule communiceert met de C2 via WebSockets met behulp van het STOMP-protocol om statusupdates te verstrekken en verdere instructies te ontvangen.
“EagleMsgSpy C2-servers hosten een administratief paneel dat gebruikersauthenticatie vereist”, aldus Bileam. “Dit administratieve paneel is geïmplementeerd met behulp van het AngularJS-framework, waarbij correct geconfigureerde routing en authenticatie ongeautoriseerde toegang tot de uitgebreide admin-API voorkomen.”
Het is de broncode van dit paneel die functies bevat zoals “getListIOS()” om onderscheid te maken tussen apparaatplatforms, verwijzend naar het bestaan van een iOS-versie van de bewakingstool.
Uit het onderzoek van Lookout is gebleken dat het panel klanten, waarschijnlijk wetshandhavingsinstanties op het vasteland van China, in staat stelt om in realtime gegevensverzameling vanaf de geïnfecteerde apparaten te starten. Een andere link die naar China verwijst, is een hardgecodeerd, op Wuhan gebaseerd telefoonnummer dat in verschillende EagleMsgSpy-voorbeelden is gespecificeerd.
The Hacker News identificeerde ook meerdere patentaanvragen ingediend door Wuhan ZRTZ Information Technology Co, Ltd. die zich verdiepen in de verschillende methoden die kunnen worden gebruikt om “cliëntgegevens te verzamelen en te analyseren, zoals gegevens van bepaalde typen, zoals gespreksgegevens van de mobiele telefoon van de verdachte, korte berichten, een adresboek, instant chat-software (QQ, WeChat, Momo, etc.) enzovoort, en genereren een relatiediagram tussen de verdachte en anderen.
Een ander patent beschrijft een “automatische methode en systeem voor het verzamelen van bewijsmateriaal”, wat aangeeft dat het bedrijf achter EagleMsgSpy zich voornamelijk richt op het ontwikkelen van producten die gebruiksscenario’s voor wetshandhaving hebben.
“Het is mogelijk dat het bedrijf de methodologieën heeft overgenomen die in hun patentaanvragen worden beschreven, vooral in gevallen waarin ze beweren unieke methoden te hebben ontwikkeld voor het creëren van relatiediagrammen tussen slachtofferdatasets”, vertelde Bileam aan The Hacker News. “We hebben echter geen inzicht in hoe het bedrijf gegevens op de server verwerkte die van de apparaten van slachtoffers waren geëxfiltreerd.”
Bovendien zei Lookout dat het twee IP-adressen heeft geïdentificeerd die zijn gekoppeld aan EagleMsgSpy C2 SSL-certificaten (202.107.80(.)34 en 119.36.193(.)210) die zijn gebruikt door andere aan China gekoppelde surveillancetools zoals PluginPhantom en CarbonSteal. Beide zijn in het verleden gebruikt om Tibetaanse en Oeigoerse gemeenschappen aan te vallen.
“De malware wordt op de apparaten van het slachtoffer geplaatst en geconfigureerd via toegang tot het ontgrendelde apparaat van het slachtoffer”, aldus het bedrijf. “Eenmaal geïnstalleerd, draait de headless payload op de achtergrond, verbergt zijn activiteiten voor de gebruiker van het apparaat en verzamelt uitgebreide gegevens van de gebruiker. Openbare CFP’s voor soortgelijke systemen geven aan dat dit surveillance-instrument of soortgelijke systemen door veel openbare veiligheidsbureaus worden gebruikt in China.”
