Sicherheitsforscher haben ein neues Überwachungstool entdeckt, das ihrer Meinung nach von chinesischen Strafverfolgungsbehörden verwendet wurde, um vertrauliche Informationen von Android-Geräten in China zu sammeln.
Das Tool mit dem Namen „EagleMsgSpy“ wurde von Forschern des US-amerikanischen Cybersicherheitsunternehmens Lookout entdeckt. Das Unternehmen sagte auf der Black Hat Europe-Konferenz am Mittwoch, dass es mehrere Varianten der Spyware erworben habe, die nach eigenen Angaben seit „mindestens 2017“ im Einsatz sei.
Kristina Balaam, eine leitende Geheimdienstforscherin bei Lookout, sagte gegenüber Tech, dass die Spyware von „vielen“ öffentlichen Sicherheitsbehörden auf dem chinesischen Festland verwendet wurde, um „umfangreiche“ Informationen von Mobilgeräten zu sammeln. Dazu gehören Anrufprotokolle, Kontakte, GPS-Koordinaten, Lesezeichen und Nachrichten von Drittanbieter-Apps, einschließlich Telegram und WhatsApp. Laut einer Studie, die Lookout mit Tech geteilt hat, ist EagleMsgSpy auch in der Lage, Bildschirmaufzeichnungen auf Smartphones zu initiieren und Audioaufnahmen des Geräts während der Nutzung zu erfassen.
In einem von Lookout erhaltenen Handbuch wird die App als „umfassendes gerichtliches Überwachungsprodukt für Mobiltelefone“ beschrieben, das „durch Netzwerkkontrolle ohne Wissen des Verdächtigen in Echtzeit Mobiltelefoninformationen von Verdächtigen erhalten, alle Mobiltelefonaktivitäten von Kriminellen überwachen und diese zusammenfassen kann.“
Balaam sagte, dass sie dank der Überschneidung der Infrastruktur mit „hoher Zuversicht“ davon ausgeht, dass EagleMsgSpy von einem privaten chinesischen Technologieunternehmen namens Wuhan Chinasoft Token Information Technology entwickelt wurde. Die Infrastruktur des Tools enthülle auch die Verbindungen des Entwicklers zu öffentlichen Sicherheitsbüros – Regierungsbüros, die im Wesentlichen als örtliche Polizeistationen fungieren – auf dem chinesischen Festland, sagte sie.
Es ist noch nicht bekannt, wie viele Personen von EagleMsgSpy angegriffen wurden. Balaam sagte, das Tool werde wahrscheinlich hauptsächlich zur Überwachung im Inland eingesetzt, weist jedoch darauf hin, dass „jeder, der in die Region reist, gefährdet sein könnte“.
„Ich denke, wenn es nur um häusliche Überwachung gehen würde, würden sie ihre Infrastruktur an einem Ort errichten, zu dem wir von Nordamerika aus keinen Zugang haben“, sagte Balaam. „Ich denke, es gibt uns einen kleinen Einblick in die Tatsache, dass sie hoffen, Menschen verfolgen zu können, wenn sie das Land verlassen, unabhängig davon, ob sie chinesische Staatsbürger sind oder nicht.“
Lookout sagte, es habe auch zwei mit EagleMsgSpy verknüpfte IP-Adressen beobachtet, die von anderen mit China verbundenen Überwachungstools verwendet wurden, wie z CarbonStealdas in früheren Kampagnen eingesetzt wurde, um die tibetische und uigurische Gemeinschaft ins Visier zu nehmen.
Lookout weist darauf hin, dass EagleMsgSpy derzeit physischen Zugriff auf ein Zielgerät erfordert. Balaam teilte Tech jedoch mit, dass das Tool erst Ende 2024 entwickelt werde und dass „es durchaus möglich“ sei, dass EagleMsgSpy so geändert werden könnte, dass kein physischer Zugriff erforderlich sei.
Lookout stellte fest, dass interne Dokumente, die das Unternehmen erhalten hatte, auf die Existenz einer noch unentdeckten iOS-Version der Spyware hinweisen.