EagleMsgSpy è un software di sorveglianza scoperto dai ricercatori di cybersecurity, utilizzato presumibilmente dalle forze di polizia cinesi per raccogliere informazioni dai dispositivi mobili. Questo strumento Android, identificato da Lookout, è operativo dal 2017 e recenti campioni sono stati caricati su VirusTotal nel settembre 2024. La sorveglianza avviene tramite un APK installatore e un client di sorveglianza che opera in background sul dispositivo, raccogliendo dati come messaggi di chat, registrazioni audio, contatti, messaggi SMS, dati di localizzazione e attività di rete.

EagleMsgSpy è descritto dagli sviluppatori come un prodotto di monitoraggio giudiziario completo, in grado di ottenere informazioni in tempo reale sui dispositivi mobili dei sospetti attraverso il controllo di rete, senza che i sospetti ne siano consapevoli. Il software è stato attribuito a Wuhan Chinasoft Token Information Technology Co., Ltd., con documenti interni che suggeriscono l'esistenza di una componente per iOS, anche se ancora non identificata in natura.

Per attivare il processo di raccolta delle informazioni, sembra che EagleMsgSpy richieda l'accesso fisico al dispositivo target. Questo viene realizzato tramite un modulo installatore che consegna il payload principale, noto come MM o eagle_mm. L'acquisizione del client di sorveglianza può avvenire attraverso vari metodi, come codici QR o dispositivi fisici collegati via USB.

Il software è in grado di intercettare messaggi in arrivo, raccogliere dati da applicazioni come QQ, Telegram, Viber, WhatsApp e WeChat, avviare registrazioni dello schermo e catturare schermate e registrazioni audio. Raccoglie anche registri delle chiamate, elenchi di contatti, coordinate GPS, dettagli sulle connessioni di rete e Wi-Fi, file nella memoria esterna, segnalibri del browser e un elenco delle applicazioni installate. I dati raccolti vengono compressi in file protetti da password e inviati a un server di comando e controllo (C2).

Protezione e Comunicazione

Le versioni recenti di EagleMsgSpy utilizzano ApkToolPlus, uno strumento di protezione delle applicazioni open-source, per celare parte del codice. Il modulo di sorveglianza comunica con il C2 tramite WebSockets utilizzando il protocollo STOMP per aggiornamenti di stato e ulteriori istruzioni.

Indagini hanno rivelato che il pannello amministrativo permette ai clienti, probabilmente agenzie di polizia in Cina, di attivare la raccolta dati in tempo reale dai dispositivi infetti. Il pannello contiene funzioni che suggeriscono l'esistenza di una versione iOS del software di sorveglianza.

Inoltre, sono stati identificati brevetti depositati da Wuhan ZRTZ Information Technology Co., Ltd. che descrivono metodi di raccolta e analisi dei dati dei clienti, generando diagrammi di relazione tra il sospettato e altri individui. Questo indica che l'azienda è concentrata sullo sviluppo di prodotti per l'applicazione della legge.