Peneliti keamanan siber telah menemukan program pengawasan baru yang diduga digunakan oleh departemen kepolisian Tiongkok sebagai alat intersepsi yang sah untuk mengumpulkan berbagai informasi dari perangkat seluler.
Alat Android, dengan nama kode EagleMsgSpy oleh Lookout, telah beroperasi setidaknya sejak tahun 2017, dengan artefak yang diunggah ke platform pemindaian malware VirusTotal paling lambat tanggal 25 September 2024.
“Perangkat pengawasan terdiri dari dua bagian: APK penginstal, dan klien pengawasan yang berjalan tanpa kepala di perangkat saat dipasang,” Kristina Balaam, staf senior peneliti intelijen ancaman di Lookout, mengatakan dalam laporan teknis yang dibagikan kepada The Hacker News.
“EagleMsgSpy mengumpulkan data ekstensif dari pengguna: pesan obrolan pihak ketiga, rekaman layar dan tangkapan layar, rekaman audio, log panggilan, kontak perangkat, pesan SMS, data lokasi, [and] aktivitas jaringan.”
EagleMsgSpy telah dijelaskan oleh pengembangnya sebagai “produk pemantauan peradilan ponsel komprehensif” yang dapat memperoleh “informasi ponsel tersangka secara real-time melalui kontrol jaringan tanpa sepengetahuan tersangka, memantau semua aktivitas ponsel penjahat, dan merangkumnya.”
Perusahaan keamanan siber tersebut mengaitkan program pengawasan tersebut dengan perusahaan Tiongkok bernama Wuhan Chinasoft Token Information Technology Co., Ltd. (alias Wuhan Zhongruan Tongzheng Information Technology Co., Ltd dan Wuhan ZRTZ Information Technology Co, Ltd.), dengan alasan infrastruktur yang tumpang tindih dan referensi di dalamnya kode sumbernya.
Lookout mengatakan dokumen internal perusahaan yang diperoleh dari direktori terbuka pada infrastruktur yang dikendalikan penyerang mengisyaratkan kemungkinan adanya komponen iOS, meskipun artefak tersebut belum ditemukan di alam liar.
Apa yang penting tentang EagleMsgSpy adalah kenyataan bahwa ia tampaknya memerlukan akses fisik ke perangkat target untuk mengaktifkan operasi pengumpulan informasi. Hal ini dicapai dengan menyebarkan modul penginstal yang kemudian bertanggung jawab untuk mengirimkan muatan inti, atau disebut sebagai MM atau eagle_mm.
Klien pengawasan, pada bagiannya, dapat diperoleh melalui berbagai metode, seperti kode QR atau melalui perangkat fisik yang menginstalnya di telepon saat terhubung ke USB. Dipercayai bahwa alat yang dipelihara secara aktif digunakan oleh banyak pelanggan vendor perangkat lunak, mengingat alat tersebut mengharuskan mereka untuk menyediakan “saluran” sebagai masukan, yang sesuai dengan akun.
Versi Android EagleMsgSpy dirancang untuk mencegat pesan masuk, mengumpulkan data dari QQ, Telegram, Viber, WhatsApp, dan WeChat, memulai perekaman layar menggunakan Media Projection API, dan menangkap tangkapan layar dan rekaman audio.
Ini juga dilengkapi untuk mengumpulkan log panggilan, daftar kontak, koordinat GPS, rincian tentang jaringan dan koneksi Wi-Fi, file di penyimpanan eksternal, bookmark dari browser perangkat, dan daftar aplikasi yang diinstal pada perangkat. Data yang dikumpulkan kemudian dikompresi menjadi file arsip yang dilindungi kata sandi dan dieksfiltrasi ke server perintah-dan-kontrol (C2).
Berbeda dengan varian awal EagleMsgSpy yang menggunakan sedikit teknik kebingungan, versi terbarunya menggunakan alat perlindungan aplikasi sumber terbuka yang disebut ApkToolPlus untuk menyembunyikan beberapa kode. Modul pengawasan berkomunikasi dengan C2 melalui WebSockets menggunakan protokol STOMP untuk memberikan pembaruan status dan menerima instruksi lebih lanjut.
“Server EagleMsgSpy C2 menghosting panel administratif yang memerlukan otentikasi pengguna,” kata Bileam. “Panel administratif ini diimplementasikan menggunakan kerangka kerja AngularJS, dengan perutean dan autentikasi yang dikonfigurasi dengan tepat untuk mencegah akses tidak sah ke API admin ekstensif.”
Kode sumber panel inilah yang berisi fungsi seperti “getListIOS()” untuk membedakan platform perangkat, mengacu pada keberadaan alat pengawasan versi iOS.
Investigasi Lookout menemukan bahwa panel tersebut memungkinkan pelanggan, kemungkinan besar merupakan lembaga penegak hukum yang berlokasi di Tiongkok Daratan, untuk memicu pengumpulan data secara real-time dari perangkat yang terinfeksi. Tautan lain yang mengarah ke Tiongkok adalah nomor telepon berbasis hardcode di Wuhan yang ditentukan dalam beberapa sampel EagleMsgSpy.
Hacker News juga mengidentifikasi beberapa permohonan paten yang diajukan oleh Wuhan ZRTZ Information Technology Co, Ltd. yang menyelidiki berbagai metode yang dapat digunakan untuk “mengumpulkan dan menganalisis data klien seperti data jenis tertentu seperti catatan panggilan ponsel tersangka, pesan singkat, buku alamat, perangkat lunak obrolan instan (QQ, WeChat, Momo, dll.) dan lain sebagainya, dan menghasilkan diagram hubungan antara tersangka dan orang lain.”
Paten lainnya merinci “metode dan sistem pengumpulan bukti otomatis”, yang menunjukkan bahwa perusahaan di balik EagleMsgSpy terutama berfokus pada pengembangan produk yang memiliki kasus penggunaan penegakan hukum.
“Ada kemungkinan bahwa perusahaan tersebut memasukkan metodologi yang dijelaskan dalam permohonan paten mereka – terutama dalam kasus di mana mereka mengklaim telah mengembangkan metode unik untuk membuat diagram hubungan antara kumpulan data korban,” kata Balaam kepada The Hacker News. “Namun, kami tidak memiliki wawasan tentang bagaimana perusahaan memproses data di sisi server yang diambil dari perangkat korban.”
Terlebih lagi, Lookout mengatakan pihaknya mengidentifikasi dua alamat IP yang terkait dengan sertifikat SSL EagleMsgSpy C2 (202.107.80[.]34 dan 119.36.193[.]210) yang telah digunakan oleh alat pengawasan lain yang terkait dengan Tiongkok seperti PluginPhantom dan CarbonSteal, yang keduanya telah digunakan untuk menargetkan komunitas Tibet dan Uyghur di masa lalu.
“Malware tersebut ditempatkan pada perangkat korban dan dikonfigurasi melalui akses ke perangkat korban yang tidak terkunci,” kata perusahaan itu. “Setelah dipasang, muatan tanpa kepala berjalan di latar belakang, menyembunyikan aktivitasnya dari pengguna perangkat dan mengumpulkan data ekstensif dari pengguna. CFP publik untuk sistem serupa menunjukkan bahwa alat pengawasan atau sistem analog ini digunakan oleh banyak biro keamanan publik di Tiongkok.”
