Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Nuevo Spyware EagleMsgSpy Amenaza la Privacidad en Android

Escrito por Adriana Aguilar | Dec 12, 2024 5:18:04 PM

Tu teléfono no es solo un aparato más, es casi como una extensión de ti: lo usas para todo, desde organizar tu día hasta guardar cosas importantes (y algunas muy personales, ¿verdad?). Ahora imagina que alguien pudiera espiar todo eso sin que te dieras cuenta. Eso es justo lo que está pasando con EagleMsgSpy, un software espía para Android que, según los expertos, lleva funcionando desde al menos 2017.

Al parecer, las fuerzas del orden en China lo están usando para vigilar dispositivos móviles sin permiso. Los investigadores de Lookout encontraron pruebas claras que lo vinculan a su desarrollador, Wuhan Chinasoft Token Information Technology Co., Ltd., y a los servidores que controlan este sistema. Los investigadores creen que podría existir una versión de este spyware para iOS, pero hasta ahora no han podido conseguir una muestra para analizarla.

 

EagleMsgSpy: Spyware Avanzado para Android

 

Se cree que las fuerzas de seguridad instalan manualmente el spyware EagleMsgSpy cuando tienen acceso físico a dispositivos desbloqueados, algo que podría suceder fácilmente durante confiscaciones o arrestos, especialmente en países con regímenes opresivos. Hasta ahora, no se ha encontrado el instalador APK en Google Play ni en tiendas de aplicaciones de terceros, lo que sugiere que este spyware se distribuye de manera muy limitada, probablemente dentro de un pequeño grupo de operadores. Además, las versiones más recientes del malware muestran mejoras significativas en la ofuscación y el cifrado del código, lo que deja claro que sigue en desarrollo activo.

 

 Instalador de EagleMsgSpy

 

EagleMsgSpy es capaz de robar todo tipo de datos personales, y aquí te damos una idea de lo que puede hacer:

 

  1. Accede a mensajes de apps de chat como QQ, Telegram, WhatsApp, entre otras.

  2. Graba la pantalla, toma capturas y también realiza grabaciones de audio.

  3. Registra llamadas, contactos, mensajes SMS.

  4. Rastrea tu ubicación (GPS), supervisa tu actividad en la red y detecta qué aplicaciones tienes instaladas.

  5. Roba marcadores del navegador y archivos almacenados en tu dispositivo.

 

Toda esta información se guarda temporalmente en una carpeta oculta, se cifra, se comprime y luego se envía a los servidores de los atacantes, conocidos como servidores de comando y control (C2).

Además, el malware incluye un panel de control llamado "Sistema de juicio de mantenimiento de estabilidad" que permite a los operadores hacer cosas en tiempo real, como activar grabaciones de audio o monitorear la ubicación y las comunicaciones de los contactos de la víctima. Básicamente, quienes controlan este spyware pueden vigilar cada detalle de tu vida sin que te des cuenta.

 

Iniciar y acceder a grabaciones desde el panel (Fuente: Lookout)

 

Podría interesarte leer: Descubren Nuevo Spyware para Android en Teléfono Incautado por el FSB

 

¿Quién está detrás de EagleMsgSpy?

 

Todo apunta a que los creadores de EagleMsgSpy son Wuhan Chinasoft Token Information Technology, una empresa vinculada al spyware gracias a coincidencias claras en infraestructura, documentación interna y datos obtenidos a través de investigaciones abiertas.

Por ejemplo, un dominio que la empresa utiliza para materiales promocionales ("tzsafe[.]com") aparece también en las cadenas de cifrado del spyware. Además, la documentación del malware menciona directamente el nombre de la compañía. Incluso, capturas de pantalla del panel de administración del spyware coinciden con la ubicación de la oficina registrada de esta empresa en Wuhan.

Por otro lado, los servidores de comando y control (C2) del malware están relacionados con dominios asociados a agencias de seguridad pública, como la Agencia de Seguridad Pública de Yantai y su sucursal en Zhifu. También hay superposiciones en los registros históricos de IP con dominios vinculados a oficinas de seguridad en ciudades como Dengfeng y Guiyang.

El propio nombre del panel de administración, "Sistema de juicio de mantenimiento de estabilidad", sugiere que esta herramienta está siendo utilizada de manera sistemática por fuerzas del orden o agencias gubernamentales, reforzando aún más la conexión entre el spyware y estas instituciones.