Desde 2017, o spyware EagleMsgSpy tem sido usado para monitoramento sigiloso de dispositivos móveis, com foco em vigilância judicial e aplicação da lei. Identificado por pesquisadores de segurança da Lookout, o malware é atribuído a uma empresa chinesa, Wuhan Chinasoft Token Information Technology Co., Ltd., e supostamente serve a departamentos policiais na China para coleta de dados de forma não detectável pelos usuários.
Como o spyware EagleMsgSpy opera
O EagleMsgSpy atua por meio de dois componentes principais: um APK instalador e um cliente de vigilância que opera em segundo plano no dispositivo infectado. Ele coleta dados abrangentes, como:
- Mensagens de aplicativos como WhatsApp, Telegram e WeChat;
- Captura de tela e gravações de áudio;
- Registros de chamadas, contatos, mensagens SMS;
- Dados de localização GPS e atividades de rede;
- Lista de aplicativos instalados e arquivos armazenados.
A ferramenta depende do acesso físico ao dispositivo para instalação inicial, utilizando QR codes ou conexões USB para implantar o módulo responsável pela entrega da carga útil, chamada eagle_mm.
Funcionalidades avançadas e métodos de coleta
Uma vez ativo, o spyware utiliza APIs do sistema Android, como a Media Projection API, para iniciar gravações de tela e capturar dados sensíveis. As informações coletadas são compactadas em arquivos protegidos por senha e enviadas para servidores de comando e controle (C2). Esses servidores utilizam o protocolo STOMP via WebSockets para se comunicar e gerenciar as operações de vigilância.
Notícias Relacionadas
Ameaças cibernéticas
Hackers camuflam malware em imagens para roubar dados
Cibercriminosos escondem malware como o VIP Keylogger e o 0bj3ctivity Stealer em imagens para distribuir suas ameaças, usando técnicas como phishing e scripts PowerShell. Saiba como essas campanhas funcionam e o impacto no mundo da segurança cibernética.
Malware em Python alimenta ransomware e explora vulnerabilidades de rede
Pesquisadores revelaram como um malware em Python, associado ao ransomware RansomHub, explora falhas de rede para comprometer endpoints, utilizando técnicas avançadas de ofuscação e movimento lateral na rede.
Documentos internos encontrados em servidores abertos também indicam a possível existência de uma versão para iOS, apesar de ainda não haver amostras confirmadas.
Origem e vínculo com a China
A análise do Lookout encontrou evidências claras associando o spyware à empresa chinesa Wuhan ZRTZ, incluindo sobreposições de infraestrutura e um número de telefone registrado em Wuhan no código-fonte do malware. Além disso, patentes registradas pela empresa detalham métodos de coleta e análise de dados, como criação de diagramas de relacionamento entre suspeitos e seus contatos.
O spyware tem semelhanças com outras ferramentas de vigilância chinesas, como PluginPhantom e CarbonSteal, usadas anteriormente contra comunidades tibetanas e uigures. Assim como esses sistemas, o EagleMsgSpy é projetado para funcionar de forma discreta, executando tarefas de coleta de dados sem alertar os usuários.
Preocupações com privacidade e segurança
A descoberta do EagleMsgSpy destaca os riscos associados a ferramentas de vigilância amplamente utilizadas para monitoramento de cidadãos. Pesquisadores alertam que sua capacidade de operar silenciosamente, coletando dados pessoais e transmitindo-os a terceiros, representa uma séria ameaça à privacidade.
Empresas de cibersegurança recomendam reforçar medidas de proteção em dispositivos móveis, como evitar instalações não autorizadas e usar aplicativos confiáveis. O caso também ressalta a importância de investigações mais rigorosas sobre o uso de tecnologias de vigilância por autoridades governamentais.
