Wuhan Chinasoft Token Information Technology Co., Ltd., 2017’den beri faaliyet gösteren ve APK olarak yüklenen ve sohbet mesajları, ekran kayıtları, ses, çağrı kayıtları, kişiler, SMS, konum dahil olmak üzere kapsamlı kullanıcı verilerini gizlice toplayan bir gözetim aracı olan EagleMsgSpy’ı geliştirdi. ve ağ etkinliği.
Veriler bir komuta ve kontrol sunucusuna gönderildiğinden, bilgi toplama amacıyla kötüye kullanılma ihtimali vardır.
Hassas kullanıcı verilerini toplayan gizli bir gözetim modülü kurmak için bir cihaza fiziksel erişim gerektiren, 2017’den beri faaliyet gösteren bir gözetim aracı olan EagleMsgSpy’ı geliştirdi.
Muhtemelen kolluk kuvvetleri tarafından kullanılan yükleyici, birden fazla kurulum seçeneği sunar ve bir “kanal” veya “hesap” girişi gerektirir; bu da birden fazla müşteriyi önerir; burada aracın devam eden gelişimi ve gizleme ve şifrelemede artan karmaşıklığı, aktif bakımını ve tespitten kaçınma çabalarını vurgulamaktadır. .
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Bir gözetim aracı olan EagleMsgSpy, cihaz etkinliğini izlemek ve QQ, Telegram, Viber, WhatsApp ve WeChat gibi popüler platformlardan gelen mesajları engellemek için Bildirim Dinleyici ve Erişilebilirlik Hizmetlerinden yararlanır.
Toplanan veriler yerel olarak depolanır, sıkıştırılır, şifrelenir ve bir C2 sunucusuna aktarılırken ekran kayıtları, ekran görüntüleri, ses, çağrı günlükleri, kişiler, SMS, GPS konumu, ağ ayrıntıları ve dosya sistemi bilgilerini yakalar.
AngularJS kullanılarak uygulanan ve cihazları yönetme ve izlemeye yönelik özellikler sağlayan, web tabanlı yönetim paneline sahip bir gözetim aracı.
Panelin kaynak kodu kısmen erişilebilir olsa da, iOS cihazlarına özel işlevleri ortaya çıkarıyor; gözetim aracının bir iOS sürümünün varlığını ve hem yönetici paneli hem de gözetim istemcisi için kullanım kılavuzlarının keşfedildiğini öne sürüyor ve aracın yeteneklerini daha da doğruluyor. potansiyel yaygın dağıtım.
Kılavuz, EagleMsgSpy’ın adli izleme için tasarlanmış, kullanıcının bilgisi olmadan hedef cihazlara uzaktan yüklenebilen ve kişiler, mesajlar, çağrı kayıtları, konum ve medya dahil olmak üzere çok çeşitli hassas verileri toplayan karmaşık bir gözetim aracı olduğunu ortaya koyuyor.
Kılavuz, gözetim istemcisinin nasıl kurulacağı ve toplanan verilerin web tabanlı bir arayüz aracılığıyla nasıl analiz edileceği hakkında ayrıntılı talimatlar sağladığından, yöneticilerin cihazı uzaktan kontrol etmesine, gerçek zamanlı verileri yakalamasına, iletişimi engellemesine ve hatta kamera ve mikrofon işlevlerini tetiklemesine olanak tanır. .
İlişkilendirme birden fazla faktöre dayanmaktadır: IP adresinin şirketle ilişkili alan adlarıyla örtüşmesi, kötü amaçlı yazılımın kodu içindeki şirketin etki alanına yapılan referanslar, şirketin ofisine bağlanan GPS koordinatları ve kötü amaçlı yazılımın geliştirme zaman çizelgesi ve ölçeğiyle uyumlu kurumsal belgeler.
EagleMsgSpy komuta ve kontrol (C2) altyapısının gözetleme analizi, Yantai ve Dengfeng gibi büroların devlet web siteleriyle paylaşılan IP adreslerini ve hem EagleMsgSpy hem de bilinen büro web siteleri tarafından kullanılan SSL sertifikalarını içeren Çin’deki kamu güvenlik bürolarıyla bağlantıları ortaya çıkardı.
Bürolardan gelen kamuya açık teklif taleplerinde (CFP’ler) benzer “İstikrar Bakım Karar Sistemlerinden” bahsediliyor ve EagleMsgSpy’ın bunlar arasında yaygın bir araç olduğu öne sürülüyor.
Paylaşılan SSL sertifikaları EagleMsgSpy’ı daha önce azınlıklara karşı hedeflenen kampanyalarda kullanılan PluginPhantom ve CarbonSteal gibi diğer Çin gözetim yazılımlarına bağlar.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free