Исследователи из Lookout Threat Lab обнаружили новый инструмент для слежки под названием EagleMsgSpy, разработанный китайской компанией-разработчиком.
EagleMsgSpy Spyware
Это шпионское ПО, работающее как минимум с 2017 года, используется китайскими правоохранительными органами для получения обширных данных с мобильных устройств. Она может получать доступ к чатам третьих лиц, журналам звонков, контактам устройств, SMS-сообщениям, данным о местоположении и сетевой активности. Кроме того, инструмент позволяет делать скриншоты и записывать экран.
Согласно анализу Lookout, EagleMsgSpy включает в себя два ключевых компонента: APK-установщик и полезную нагрузку, которая работает в фоновом режиме, скрывая свою деятельность от жертвы. В исходном коде обнаружены функции, различающие платформы устройств, что говорит о существовании версий как для Android, так и для iOS. Однако исследователи отмечают, что для начала слежки требуется физический доступ к целевому устройству, а EagleMsgSpy не был обнаружен в Google Play или других магазинах приложений.
Lookout также сообщает, что доменная инфраструктура, связанная с EagleMsgSpy, пересекается с инфраструктурой, связанной с бюро общественной безопасности в материковом Китае. Эта связь указывает на широкое распространение инструмента в регионе. Кроме того, EagleMsgSpy имеет общие связи с другими китайскими приложениями для слежки, такими как PluginPhantom и CarbonSteal, что указывает на его роль в более широкой экосистеме государственного наблюдения, направленного на различные группы в Китае.
Indicators of Compromise
IPv4
- 101.201.213.210
- 111.21.6.126
- 119.36.193.210
- 124.163.212.149
- 149.28.21.203
- 202.107.80.34
- 218.200.20.254
- 220.168.203.197
- 47.112.137.199
- 59.48.241.214
- 59.48.241.22
- 61.136.71.171
- 61.163.69.238
Domains
- bug.tzsafe.com
- eagle.demo.tzsafe.com
- eagle.tzsafe.com
- eagle.tzsafe.tk
- eagle.zrtsafe.com
- efence.demo.tzsafe.com
- es.ngrok.tzsafe.com
- git.tzsafe.com
- i.tzsafe.com
- kong.tzsafe.com
- qzapp.tzsafe.com
- www.tzsafe.com
- xkong.tzsafe.com
SHA1
- 01003f047caa05873ee420e29ee54d6cc8203ca6
- 0b1d3d87a453f63129e73b2a32d95ef3eea94b4e
- 29bbb04c0180e78bd6bad49719ce92ae17081a3b
- 4dfcc0b99f81b66c56059a72d4e149bc5d728b87
- 5208039ef9efb317cc2ed7085ca98386ec31b0b4
- 59987ceadbd899314ffcf77958faf3b35aa064cd
- 5d935d5ab7b7c6b301a4c79807c33e0bee23e3ff
- 5e282b0395093c478c36eda9b4ee50c92d8cf6eb
- 64aca40e982836b72f156fb66b6383a0634d12cc
- 6d043b4d7bc513cc6d3e308a84ed8b63e3bab4f6
- 81c572580d09231fbdc3cf4fedb2aa07be3b7769
- 87d925a95d584e4c46545579b01713f6d74eee00
- 880c46bf7e65e3f9a081f42582af1f072e22cf1a
- 89642d092adaea7ad1e5ae77dea97bbdef5839d1
- 8ee651a90c36a98b2ab240efb64c597c21fb6f1e
- 9557eebe4ee2dc602750365e722002d9f686b7fb
- caa93aa37353cab26a30e291c41fe579d3304e1a
- cea796beb252d1ab7db01d8a0103f7cca5d0955d
- d4e943ba47f762194bcf3c07be25a9f6ea5a36b0
- d6d706b23caefb2822914e294452ada77710eff3
- dab40467824ff3960476d924ada91997ddfce0b0
- ddc729ecf21dd74e51e1a2f5c8b1d2d06ed4a559
- e6b270be7a6c3cca16ae7268f3a93c74c14b0510
- ec580142c0dff25b43f8525f9078dd3d6a99361c
- f092dfab5b1fbff38361077f87805403318badfa
- f0f3e8f01a17c7d5be440dfa7ef7e5ac1f068fe5
- fef7ad2b74db3e42909c04816c66c61c61b7a8c4