Investigadores de Lookout han identificado un sofisticado software espía para dispositivos Android denominado EagleMsgSpy, hasta ahora desconocido. Este programa malicioso estaría siendo empleado por agencias gubernamentales y fuerzas policiales de China para llevar a cabo actividades de vigilancia encubierta en dispositivos móviles.
Según los analistas, EagleMsgSpy fue desarrollado por la empresa china Wuhan Chinasoft Token Information Technology Co., Ltd., también conocida como Wuhan Zhongruan Tongzheng Information Technology Co., Ltd. y Wuhan ZRTZ Information Technology Co., Ltd.. Las investigaciones sugieren que este spyware ha estado operativo desde al menos el año 2017.
La naturaleza encubierta y el nivel de sofisticación de EagleMsgSpy reflejan una creciente preocupación por las tácticas de vigilancia digital y su impacto en la privacidad de los usuarios a nivel global.
Además, los primeros artefactos asociados con EagleMsgSpy se cargaron en VirusTotal recién el 25 de septiembre de 2024.
En el informe, los investigadores proporcionan gran cantidad de evidencia que vincula a EagleMsgSpy con sus programadores y operadores, incluidas direcciones IP asociadas con servidores de control, dominios, enlaces directos en documentación interna, así como contratos públicos y datos OSINT recopilados.
Por ejemplo, el dominio que Wuhan Chinasoft Token Information Technology que utiliza para alojar materiales publicitarios (tzsafe[.]com) también se ha observado en el código EagleMsgSpy, y la documentación del malware menciona directamente el nombre de la empresa.
Además, las capturas de pantalla que son examinadas de los dispositivos de prueba del panel administrativo de EagleMsgSpy corresponden a la ubicación de la oficina de la empresa en Wuhan.
Vale la pena mencionar que se encontraron signos de la existencia de una versión iOS de EagleMsgSpy en la documentación interna y la infraestructura de los desarrolladores de spyvari, pero los investigadores no tienen muestra para los dispositivos Apple a su disposición.
Los propios programadores describen EagleMsgSpy como un “producto integral para el seguimiento legal de dispositivos móviles” que es capaz de recopilar “información de los teléfonos móviles de los sospechosos en tiempo real, a través del seguimiento de la red sin el conocimiento del sospechoso, rastreando todas las acciones del delincuente con teléfonos móviles y resumirlos”.
Lookout cree que las agencias policiales instalan manualmente EagleMsgSpy en dispositivos específicos cuando tienen acceso físico a dispositivos desbloqueados. Es probable que esto ocurra durante la confiscación del dispositivo, como durante los arrestos.
Dado que el instalador de APK no se pudo encontrar en Google Play Store ni en tiendas de aplicaciones de terceros, se cree que el software espía lo distribuye un número muy reducido de operadores.
Un estudio de diferentes muestras de software espía mostró que los desarrolladores están mejorando activamente la ofuscación y el cifrado del código (por ejemplo, utilizando el código abierto ApkToolPlus), es decir, EagleMsgSpy está claramente en desarrollo activo.
Una vez instalado en el dispositivo de destino, EagleMsgSpy muestra la siguiente actividad:
Roba mensajes de mensajería instantánea (incluidos ǪǪ, Telegram, Viber, WhatsApp, WeChat, etc.); registra lo que sucede en la pantalla usando la API Media Projection, toma capturas de pantalla y graba audio, recupera registros de llamadas, lista de contactos y mensajes SMS, recibe datos sobre ubicación (GPS), actividad de la red, aplicaciones instaladas, roba marcadores de navegadores y archivos de dispositivos de almacenamiento externos.
Todos los datos recopilados se almacenan temporalmente en un directorio oculto, se cifran, se comprimen y luego se transfieren a los servidores de control.
El panel de administrador del malware se llama «Sistema de evaluación del mantenimiento de la estabilidad». Permite a los operadores remotos iniciar acciones en tiempo real, como grabar audio, mostrar la distribución geográfica de los contactos de una víctima y monitorear mensajes.
Respecto a los operadores de software espía, Lookout afirma que los servidores de control de EagleMsgSpy están asociados con dominios de la Oficina de Seguridad Pública, como las sucursales de Yantai y Zhifu.
El informe también señala que los especialistas de Lookout pudieron identificar dos direcciones IP asociadas con los certificados SSL de los servidores de control EagleMsgSpy (202.107.80[.]34 y 119.36.193[.]210). Estas direcciones han sido utilizadas anteriormente por otras herramientas de espionaje de China, incluidas PluginPhantom y CarbonSteal .