Segurança cibernética

Spyware EagleMsgSpy explora dispositivos móveis desde 2017

Descoberto spyware chinês EagleMsgSpy, usado desde 2017 para vigilância avançada de dispositivos móveis, coletando dados pessoais amplos sem o conhecimento dos usuários.

Imagem do Android vermelha

Desde 2017, o spyware EagleMsgSpy tem sido usado para monitoramento sigiloso de dispositivos móveis, com foco em vigilância judicial e aplicação da lei. Identificado por pesquisadores de segurança da Lookout, o malware é atribuído a uma empresa chinesa, Wuhan Chinasoft Token Information Technology Co., Ltd., e supostamente serve a departamentos policiais na China para coleta de dados de forma não detectável pelos usuários.

Como o spyware EagleMsgSpy opera

Imagem com celular com malware na tela

O EagleMsgSpy atua por meio de dois componentes principais: um APK instalador e um cliente de vigilância que opera em segundo plano no dispositivo infectado. Ele coleta dados abrangentes, como:

  • Mensagens de aplicativos como WhatsApp, Telegram e WeChat;
  • Captura de tela e gravações de áudio;
  • Registros de chamadas, contatos, mensagens SMS;
  • Dados de localização GPS e atividades de rede;
  • Lista de aplicativos instalados e arquivos armazenados.

A ferramenta depende do acesso físico ao dispositivo para instalação inicial, utilizando QR codes ou conexões USB para implantar o módulo responsável pela entrega da carga útil, chamada eagle_mm.

Funcionalidades avançadas e métodos de coleta

Uma vez ativo, o spyware utiliza APIs do sistema Android, como a Media Projection API, para iniciar gravações de tela e capturar dados sensíveis. As informações coletadas são compactadas em arquivos protegidos por senha e enviadas para servidores de comando e controle (C2). Esses servidores utilizam o protocolo STOMP via WebSockets para se comunicar e gerenciar as operações de vigilância.

Documentos internos encontrados em servidores abertos também indicam a possível existência de uma versão para iOS, apesar de ainda não haver amostras confirmadas.

Origem e vínculo com a China

A análise do Lookout encontrou evidências claras associando o spyware à empresa chinesa Wuhan ZRTZ, incluindo sobreposições de infraestrutura e um número de telefone registrado em Wuhan no código-fonte do malware. Além disso, patentes registradas pela empresa detalham métodos de coleta e análise de dados, como criação de diagramas de relacionamento entre suspeitos e seus contatos.

O spyware tem semelhanças com outras ferramentas de vigilância chinesas, como PluginPhantom e CarbonSteal, usadas anteriormente contra comunidades tibetanas e uigures. Assim como esses sistemas, o EagleMsgSpy é projetado para funcionar de forma discreta, executando tarefas de coleta de dados sem alertar os usuários.

Preocupações com privacidade e segurança

A descoberta do EagleMsgSpy destaca os riscos associados a ferramentas de vigilância amplamente utilizadas para monitoramento de cidadãos. Pesquisadores alertam que sua capacidade de operar silenciosamente, coletando dados pessoais e transmitindo-os a terceiros, representa uma séria ameaça à privacidade.

Empresas de cibersegurança recomendam reforçar medidas de proteção em dispositivos móveis, como evitar instalações não autorizadas e usar aplicativos confiáveis. O caso também ressalta a importância de investigações mais rigorosas sobre o uso de tecnologias de vigilância por autoridades governamentais.