Les chercheurs de la socit de cyberscurit Lookout ont dcouvert un logiciel malveillant chinois baptis EagleMsgSpy . Le maliciel aurait t utilis par les bureaux de scurit publique travers la Chine depuis au moins 2017 pour surveiller et voler des informations sensibles sur les cibles, dont des SMS, des enregistrements audio, des donnes de localisation, etc. Selon le rapport, le dveloppement de l’outil s’est poursuivi tout au long de 2024, l’entreprise derrire lui ajoutant de nouvelles capacits et des fonctionnalits d’obscurcissement. Les chercheurs de Lookout ont dclar que le maliciel cible spcialement les appareils Android.
EagleMsgSpy : un logiciel de surveillance chinois qui collecte des informations sensibles
Les chercheurs de Lookout ont prsent EagleMsgSpy lors du deuxime jour de la confrence Black Hat Europe qui se tient du lundi 9 au jeudi 12 dcembre 2024, Londres, en Angleterre. Ils ont dclar avoir acquis plusieurs variantes du logiciel espion, qui, selon eux, est oprationnel depuis au moins 2017. Lookout suit EagleMsgSpy depuis des annes et l’a identifi publiquement pour la premire fois en janvier 2023. L’outil a bien volu depuis cette poque.
L’outil se compose d’un programme d’installation et d’une application qui fonctionne sur les appareils mobiles Android. Kristina Balaam, chercheuse principale en renseignement chez Lookout, a dclar que EagleMsgSpy a t dvelopp par la socit Wuhan Chinasoft Token Information Technology. Il aurait t utilis par de nombreux bureaux de scurit publique en Chine continentale dans le but de collecter des informations tendues partir d’appareils mobiles.
Une page d’introduction rsume les capacits et les cas d’utilisation du client EagleMsgSpy.
EagleMsgSpy collecte des journaux d’appels, des contacts, des coordonnes GPS, des SMS, des signets et des messages provenant d’applications tierces telles que Telegram et WhatsApp. L’outil peut galement lancer des enregistrements d’cran sur les smartphones, et peut capturer des enregistrements audio de l’appareil en cours d’utilisation. Les donnes voles sont collectes dans une zone de transit avant d’tre compresses et envoyes un serveur externe.
Les crateurs de EagleMsgSpy le dcrivent comme un produit de surveillance judiciaire des tlphones portables capable d’obtenir des informations en temps rel sur les tlphones portables des suspects par le biais du contrle du rseau l’insu du suspect, surveiller toutes les activits des tlphones portables des criminels et les rsumer . Selon Kristina Balaam, il s’agit en effet d’un outil de surveillance extrmement puissant, mais galement trs discret.
Lookout note qu’EagleMsgSpy ncessite actuellement un accs physique l’appareil cible. Cependant, Kristina Balaam a dclar que l’outil tait toujours en cours de dveloppement la fin de l’anne 2024, et qu’il tait tout fait possible qu’EagleMsgSpy soit modifi pour ne pas ncessiter d’accs physique. Les manuels d’instruction obtenus indiquent que l’outil est install soit par le biais d’une cl USB branche sur l’appareil, soit par le biais d’un code QR.
EagleMsgSpy peut tre utilise pour la surveillance intrieure et des visiteurs
Kristina Balaam a galement dclar que l’infrastructure de EagleMsgSpy rvle les liens du dveloppeur avec les bureaux de scurit publique . Il s’agirait de bureaux gouvernementaux qui agissent essentiellement comme des postes de police locaux, en Chine continentale. On ne sait pas encore combien de personnes ont t cibles par EagleMsgSpy. Selon Kristina Balaam, l’outil est probablement utilis utilis principalement pour la surveillance intrieure.
Mais, elle note que toute personne voyageant dans la rgion pourrait tre expose un risque. Je pense que s’il ne s’agissait que de surveillance intrieure, ils installeraient leur infrastructure dans un endroit auquel nous ne pourrions pas accder depuis l’Amrique du Nord. Je pense que cela nous donne un aperu du fait qu’ils esprent pouvoir suivre les gens s’ils quittent le pays, qu’ils soient citoyens chinois ou non , a dclar Kristina Balaam, de Lookout.
Le panneau d’administration permet aux utilisateurs de dclencher des enregistrements audio en temps rel sur l’appareil, comme le montre cette capture d’cran du manuel
Les fichiers contenant le logiciel malveillant et les programmes associs portent des noms anodins afin de ne pas veiller les soupons. Et les versions les plus rcentes du maliciel ont dploy davantage d’efforts pour dissimuler l’outil sur les tlphones. Les clients se voient proposer un panneau d’administration avec des cartes gographiques lies l’emplacement de l’appareil, ainsi que des listes de personnes contactes par l’intermdiaire de l’appareil.
L’administrateur est galement en mesure de dclencher la collecte de photos en temps rel partir d’un appareil, la collecte de captures d’cran en temps rel, de bloquer les appels entrants et sortants et les messages SMS vers des numros de tlphone spcifiques, et de lancer un enregistrement audio en temps rel partir de l’appareil , explique Lookout. EagleMsgSpy est l’un des nombreux outils de surveillance mobile utiliss par les autorits chinoises.
Lookout a galement observ deux adresses IP lies EagleMsgSpy qui ont t utilises par d’autres outils de surveillance lis la Chine, tels que CarbonSteal et PluginPhantom. CarbonSteal a t utilis dans des campagnes ciblant les minorits en Chine, notamment les communauts tibtaine et oughoure.
PluginPhantom est un cheval de Troie qui cible les appareils Android. Il a t prcdemment dploy par des pirates informatiques chinois. Lookout a not que des documents internes qu’elle a obtenus font allusion l’existence d’une version iOS du logiciel espion EagleMsgSpy qui n’a pas encore t dcouverte.
Comment EagleMsgSpy infecte-t-il les appareils des personnes cibles ?
Un module d’installation, qui serait vraisemblablement utilis par des agents des forces de l’ordre ayant obtenu l’accs l’appareil dverrouill, est responsable de la livraison d’un module de surveillance sans tte qui reste sur l’appareil et collecte de nombreuses donnes sensibles. Il s’agirait du seul mcanisme de distribution et ni le programme d’installation ni la charge utile n’ont t observs sur Google Play ou d’autres magasins d’applications.
Au lancement, le programme d’installation prsente l’utilisateur plusieurs options pour installer, lancer et accorder des autorisations supplmentaires au module de surveillance.
Ce programme d’installation suggre galement que cet outil de surveillance est probablement utilis par plusieurs clients de l’diteur de logiciels, puisqu’elle demande l’utilisateur d’entrer un canal qui, selon la documentation laquelle les chercheurs de Lookout ont pu accder, correspond un compte .
Lookout a observ une volution dans la sophistication de l’utilisation de l’obscurcissement et du stockage des cls chiffres au fil du temps. Cela indique que ce logiciel de surveillance est un produit activement entretenu dont les crateurs font des efforts continus pour le protger de la dcouverte et de l’analyse.
Salt Typhoon : la Chine aurait cibl les tlcommunications aux tats-Unis
Un rapport publi rcemment indique que la Chine a men une campagne de piratage massive, surnomme Salt Typhoon, qualifie de pire piratage des tlcommunications dans l’histoire des tats-Unis . Les pirates informatiques chinois ont infiltr des rseaux tlcoms majeurs (AT&T, Verizon, T-Mobile), interceptant des appels en temps rel et accdant des communications non chiffres, notamment celles de responsables politiques et gouvernementaux.
Le piratage a galement compromis les systmes enregistrant les demandes d’coutes tlphoniques des forces de l’ordre, exposant des millions de donnes sensibles. Selon le snateur Mark Warner, cette intrusion souligne la vulnrabilit des infrastructures tlcoms amricaines, souvent obsoltes et mal rglementes.
Il appelle des mesures de cyberscurit plus strictes, bien que des initiatives similaires aient rencontr une rsistance dans le pass. Malgr des efforts pour contrer les cyberattaques chinoises, leurs activits restent agressives, ncessitant une refonte profonde des systmes critiques pour les protger des futures intrusions.
Source : Lookout
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du logiciel malveillant EagleMsgSpy dploy par la Chine ?
Voir aussi