Los equipos de seguridad provinciales chinos utilizaron software espía para recopilar textos y grabaciones de audio
Varias oficinas de seguridad a nivel provincial en China están utilizando una poderosa herramienta de software espía para robar una gran cantidad de datos sobre los objetivos, incluidos textos, grabaciones de audio y datos de ubicación.
La herramienta, denominada EagleMsgSpy, ha sido utilizada por las oficinas de seguridad pública de China desde al menos 2017, según investigadores de la firma de ciberseguridad Lookout.
Los investigadores dijeron que el desarrollo de la herramienta continuó a lo largo de 2024, y la empresa detrás de ella agregó nuevas capacidades y funciones de ofuscación.
«Lo que más destacó de este descubrimiento específico es que el malware recopila una cantidad tan grande de datos confidenciales, incluidos mensajes cifrados en una variedad de aplicaciones como Telegram y WhatsApp, así como el hecho de que parece haber conexiones generalizadas con redes públicas. oficinas de seguridad”, dijo a Recorded Future News Kristina Balaam, investigadora senior de inteligencia de seguridad de Lookout.
«Pero lo que encontramos más alarmante es que esto parece ser sólo un ejemplo de software de vigilancia contratado más amplio aprovechado por las fuerzas del orden en función de la cantidad de convocatorias de propuestas adicionales que vimos solicitando productos similares».
Lookout ha estado rastreando EagleMsgSpy durante años y lo identificó públicamente por primera vez en enero de 2023. El software de vigilancia consta de un instalador y una aplicación que se ejecuta en dispositivos móviles Android.
La poderosa herramienta fue creada por Wuhan Chinasoft Token Information Technology y permite a los usuarios recopilar mensajes de chat de terceros, capturas de pantalla y grabaciones de pantalla, grabaciones de audio, registros de llamadas, contactos de dispositivos, mensajes SMS, datos de ubicación y actividad de la red.
Recopila mensajes de aplicaciones de mensajería populares en China, como QQ, Viber, WhatsApp, WeChat y Telegram. Los datos robados se recopilan en un área de preparación antes de comprimirlos y enviarlos a un servidor externo.
En un informe extensoLos investigadores de Lookout dijeron que obtuvieron acceso a varias versiones de la herramienta y a documentos internos que indican que puede haber una versión para dispositivos Apple.
Los investigadores señalaron que la herramienta puede requerir acceso físico al dispositivo para poder instalarla porque la aplicación no está disponible en Google Play ni en otras tiendas de aplicaciones. Los manuales de instrucciones obtenidos decían que la herramienta de vigilancia se instaló a través de un USB conectado al dispositivo o mediante un código QR.
Los archivos que contienen el malware y sus programas asociados reciben nombres insulsos para no levantar sospechas. Las versiones más recientes del malware han requerido un mayor esfuerzo para ocultar la herramienta en los teléfonos.
A los clientes se les ofrece un panel administrativo con mapas geográficos vinculados a la ubicación del dispositivo, así como listas de las 10 personas principales contactadas a través del dispositivo.
Imagen: Mirador
«El administrador también puede activar la recopilación de fotografías en tiempo real desde un dispositivo, la recopilación de capturas de pantalla en tiempo real, bloquear llamadas entrantes y salientes y mensajes SMS a números de teléfono específicos e iniciar la grabación de audio en tiempo real desde el dispositivo», dijeron los investigadores. dicho.
La infraestructura asociada con la herramienta de vigilancia indicaba que sería utilizada por múltiples oficinas de seguridad pública, que en China son oficinas gubernamentales que efectivamente actúan como comisarías de policía locales.
Los investigadores dijeron que otros documentos mostraban que EagleMsgSpy era una de varias herramientas de vigilancia móvil que utilizaban las autoridades chinas y que parte de la infraestructura asociada con el malware se utilizaba con ComplementoPhantom (una herramienta previamente utilizada por grupos de hackers chinos) y otra herramienta de vigilancia llamada CarbonSteal que se utilizó en campañas dirigidas a minorías en China, incluidos uigures y tibetanos.
El informe señala que existen conexiones potenciales entre los desarrolladores del malware y Topsec, una de las mayores empresas de seguridad de redes de China. según los expertos.
El martes, una antigua filial de Topsec fue sancionado y acusado por funcionarios estadounidenses por su papel en comprometer miles de firewalls en todo el mundo.
Futuro grabado
Nube de inteligencia.