EagleMsgSpy Spyware IOCs

Spyware IOC

Исследователи из Lookout Threat Lab обнаружили новый инструмент для слежки под названием EagleMsgSpy, разработанный китайской компанией-разработчиком.

EagleMsgSpy Spyware

Это шпионское ПО, работающее как минимум с 2017 года, используется китайскими правоохранительными органами для получения обширных данных с мобильных устройств. Она может получать доступ к чатам третьих лиц, журналам звонков, контактам устройств, SMS-сообщениям, данным о местоположении и сетевой активности. Кроме того, инструмент позволяет делать скриншоты и записывать экран.

Согласно анализу Lookout, EagleMsgSpy включает в себя два ключевых компонента: APK-установщик и полезную нагрузку, которая работает в фоновом режиме, скрывая свою деятельность от жертвы. В исходном коде обнаружены функции, различающие платформы устройств, что говорит о существовании версий как для Android, так и для iOS. Однако исследователи отмечают, что для начала слежки требуется физический доступ к целевому устройству, а EagleMsgSpy не был обнаружен в Google Play или других магазинах приложений.

Lookout также сообщает, что доменная инфраструктура, связанная с EagleMsgSpy, пересекается с инфраструктурой, связанной с бюро общественной безопасности в материковом Китае. Эта связь указывает на широкое распространение инструмента в регионе. Кроме того, EagleMsgSpy имеет общие связи с другими китайскими приложениями для слежки, такими как PluginPhantom и CarbonSteal, что указывает на его роль в более широкой экосистеме государственного наблюдения, направленного на различные группы в Китае.

Indicators of Compromise

IPv4

  • 101.201.213.210
  • 111.21.6.126
  • 119.36.193.210
  • 124.163.212.149
  • 149.28.21.203
  • 202.107.80.34
  • 218.200.20.254
  • 220.168.203.197
  • 47.112.137.199
  • 59.48.241.214
  • 59.48.241.22
  • 61.136.71.171
  • 61.163.69.238

Domains

  • bug.tzsafe.com
  • eagle.demo.tzsafe.com
  • eagle.tzsafe.com
  • eagle.tzsafe.tk
  • eagle.zrtsafe.com
  • efence.demo.tzsafe.com
  • es.ngrok.tzsafe.com
  • git.tzsafe.com
  • i.tzsafe.com
  • kong.tzsafe.com
  • qzapp.tzsafe.com
  • www.tzsafe.com
  • xkong.tzsafe.com

SHA1

  • 01003f047caa05873ee420e29ee54d6cc8203ca6
  • 0b1d3d87a453f63129e73b2a32d95ef3eea94b4e
  • 29bbb04c0180e78bd6bad49719ce92ae17081a3b
  • 4dfcc0b99f81b66c56059a72d4e149bc5d728b87
  • 5208039ef9efb317cc2ed7085ca98386ec31b0b4
  • 59987ceadbd899314ffcf77958faf3b35aa064cd
  • 5d935d5ab7b7c6b301a4c79807c33e0bee23e3ff
  • 5e282b0395093c478c36eda9b4ee50c92d8cf6eb
  • 64aca40e982836b72f156fb66b6383a0634d12cc
  • 6d043b4d7bc513cc6d3e308a84ed8b63e3bab4f6
  • 81c572580d09231fbdc3cf4fedb2aa07be3b7769
  • 87d925a95d584e4c46545579b01713f6d74eee00
  • 880c46bf7e65e3f9a081f42582af1f072e22cf1a
  • 89642d092adaea7ad1e5ae77dea97bbdef5839d1
  • 8ee651a90c36a98b2ab240efb64c597c21fb6f1e
  • 9557eebe4ee2dc602750365e722002d9f686b7fb
  • caa93aa37353cab26a30e291c41fe579d3304e1a
  • cea796beb252d1ab7db01d8a0103f7cca5d0955d
  • d4e943ba47f762194bcf3c07be25a9f6ea5a36b0
  • d6d706b23caefb2822914e294452ada77710eff3
  • dab40467824ff3960476d924ada91997ddfce0b0
  • ddc729ecf21dd74e51e1a2f5c8b1d2d06ed4a559
  • e6b270be7a6c3cca16ae7268f3a93c74c14b0510
  • ec580142c0dff25b43f8525f9078dd3d6a99361c
  • f092dfab5b1fbff38361077f87805403318badfa
  • f0f3e8f01a17c7d5be440dfa7ef7e5ac1f068fe5
  • fef7ad2b74db3e42909c04816c66c61c61b7a8c4
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий