据网络安全公司 Lookout 的研究人员称，发现了某国一款曾经未公开的Spy软件,名为 EagleMsgSpy，至少从 2017 年起就被开始使用。

研究人员表示，该工具的开发将在 2024 年持续进行，其背后的公司添加了新的功能和混淆功能。

这一具体发现最引人注目的是，该恶意软件收集了如此大量的敏感数据，包括 Telegram 和 WhatsApp 等各种应用程序中的加密消息，以及似乎与公众存在广泛联系的数据。

Lookout 多年来一直在跟踪 EagleMsgSpy，并于 2023 年 1 月首次公开识别它。该监控软件由一个安装程序和一个在 Android 移动设备上运行的应用程序组成。

该工具界面如下图所示:

该恶意软件的后续版本显示了代码混淆和加密方面的改进,表明其开发正在积极进行。

该强大的工具允许用户收集第三方聊天消息、屏幕截图和屏幕录像、录音、通话记录、设备联系人、短信、位置数据和网络活动。

它从该国流行的消息应用程序收集消息，例如 QQ、Viber、WhatsApp、微信和 Telegram。被盗数据被收集在暂存区域，然后被压缩并发送到外部服务器。

EagleMsgSpy 的数据盗窃活动包括以下目标：

(1).来自聊天应用程序（QQ、Telegram、WhatsApp 等）的消息

(2).屏幕录制、屏幕截图和录音。

(3).通话记录、联系人、短信。

(4).位置 (GPS)、网络活动、安装的应用程序。

(5).浏览器书签、外部存储文件。

数据临时存储在隐藏目录中，经过加密、压缩并泄露到命令与控制 (C2) 服务器。该恶意软件具有一个名为“稳定性维护判断系统”的管理员面板。该面板允许远程操作员启动实时活动，例如触发录音或显示目标联系人的地理分布和通信交换。如图:

Lookout 研究人员在一份冗长的报告中表示，他们获得了该工具的多个版本以及内部文件，表明可能有一个适用于 Apple 设备的版本。

研究人员指出，该工具可能需要物理访问设备才能安装，因为该应用程序在 Google Play 或其他应用程序商店中不可用。获得的使用说明书称，该监控工具是通过插入设备的 USB 或二维码安装的。

包含恶意软件及其相关程序的文件的名称很平平无奇，以免引起怀疑。该恶意软件的最新版本更加努力地将该工具隐藏在手机上。

客户可以使用一个管理面板，其中包括与设备位置相关联的地理地图，以及通过设备联系的人员的前10名列表。

研究人员还表示：“管理员还可以触发设备中的实时照片收集、实时屏幕截图收集、阻止特定电话号码的来电和短信以及短信，以及启动设备上的实时录音。

与监控工具相关的基础设施表明，它被多个XX局使用，这些XX局在该国是政府机关。

研究人员表示，其他文件显示 EagleMsgSpy 是该国执法部门使用的几种移动监控工具之一，与该恶意软件相关的一些基础设施与PluginPhantom （该国黑客组织之前部署的工具）以及另一个名为 CarbonSteal 的监控工具一起使用。用于针对该国少数民族的运动。

该报告指出，该恶意软件的开发者与该国最大的网络安全公司之一XX信之间存在潜在联系。

周二，XX信的一家前子公司因破坏全球数千个防火墙而受到美国官员的制裁和起诉。

原文地址:

https://therecord.media/chinese-provincial-security-teams-use-spyware-collect-texts-location

来源：二进制空间安全