Les chercheurs de la société de cybersécurité Lookout ont découvert un logiciel malveillant chinois baptisé « EagleMsgSpy ». Le maliciel aurait été utilisé par les bureaux de sécurité publique à travers la Chine depuis au moins 2017 pour surveiller et voler des informations sensibles sur les cibles, dont des SMS, des enregistrements audio, des données de localisation, etc. Selon le rapport, le développement de l'outil s'est poursuivi tout au long de l'année 2024, l'entreprise derrière lui ajoutant de nouvelles capacités et des fonctionnalités d'obscurcissement. Les chercheurs de Lookout ont déclaré que le maliciel cible spécialement les appareils Android.EagleMsgSpy : un logiciel de surveillance chinois qui collecte des informations sensibles
Les chercheurs de Lookout ont présenté EagleMsgSpy lors du deuxième jour de la conférence Black Hat Europe qui se tient du lundi 9 au jeudi 12 décembre 2024, à Londres, en Angleterre. Ils ont déclaré avoir acquis plusieurs variantes du logiciel espion, qui, selon eux, est opérationnel depuis au moins 2017. Lookout suit EagleMsgSpy depuis des années et l'a identifié publiquement pour la première fois en janvier 2023. L'outil a bien évolué depuis cette époque.
L'outil se compose d'un programme d'installation et d'une application qui fonctionne sur les appareils mobiles Android. Kristina Balaam, chercheuse principale en renseignement chez Lookout, a déclaré que EagleMsgSpy a été développé par la société Wuhan Chinasoft Token Information Technology. Il aurait été utilisé par de nombreux bureaux de sécurité publique en Chine continentale dans le but de collecter des informations étendues à partir d'appareils mobiles.
Une page d'introduction résume les capacités et les cas d'utilisation du client EagleMsgSpy.
EagleMsgSpy collecte des journaux d'appels, des contacts, des coordonnées GPS, des SMS, des signets et des messages provenant d'applications tierces telles que Telegram et WhatsApp. L'outil peut également lancer des enregistrements d'écran sur les smartphones, et peut capturer des enregistrements audio de l'appareil en cours d'utilisation. Les données volées sont collectées dans une zone de transit avant d'être compressées et envoyées à un serveur externe.
Les créateurs de EagleMsgSpy le décrivent comme « un produit de surveillance judiciaire des téléphones portables capable d'obtenir des informations en temps réel sur les téléphones portables des suspects par le biais du contrôle du réseau à l'insu du suspect, surveiller toutes les activités des téléphones portables des criminels et les résumer ». Selon Kristina Balaam, il s'agit en effet d'un outil de surveillance extrêmement puissant, mais également très discret.
Lookout note qu'EagleMsgSpy nécessite actuellement un accès physique à l'appareil cible. Cependant, Kristina Balaam a déclaré que l'outil était toujours en cours de développement à la fin de l'année 2024, et qu'il était « tout à fait possible » qu'EagleMsgSpy soit modifié pour ne pas nécessiter d'accès physique. Les manuels d'instruction obtenus indiquent que l'outil est installé soit par le biais d'une clé USB branchée sur l'appareil, soit par le biais d'un code QR.
EagleMsgSpy peut être utilisée pour la surveillance intérieure et des visiteurs
Kristina Balaam a également déclaré que « l'infrastructure de EagleMsgSpy révèle les liens du développeur avec les bureaux de sécurité publique ». Il s'agirait de bureaux gouvernementaux qui agissent essentiellement comme des postes de police locaux, en Chine continentale. On ne sait pas encore combien de personnes ont été ciblées par EagleMsgSpy. Selon Kristina Balaam, l'outil est probablement utilisé utilisé principalement pour la surveillance intérieure.
Mais, elle note que toute personne voyageant dans la région pourrait être exposée à un risque. « Je pense que s'il ne s'agissait que de surveillance intérieure, ils installeraient leur infrastructure dans un endroit auquel nous ne pourrions pas accéder depuis l'Amérique du Nord. Je pense que cela nous donne un aperçu du fait qu'ils espèrent pouvoir suivre les gens s'ils quittent le pays, qu'ils soient citoyens chinois ou non », a déclaré Kristina Balaam, de Lookout.
Le panneau d'administration permet aux utilisateurs de déclencher des enregistrements audio en temps réel sur l'appareil, comme le montre cette capture d'écran du manuel
Les fichiers contenant le logiciel malveillant et les programmes associés portent des noms anodins afin de ne pas éveiller les soupçons. Et les versions les plus récentes du maliciel ont déployé davantage d'efforts pour dissimuler l'outil sur les téléphones. Les clients se voient proposer un panneau d'administration avec des cartes géographiques liées à l'emplacement de l'appareil, ainsi que des listes de personnes contactées par l'intermédiaire de l'appareil.
« L'administrateur est également en mesure de déclencher la collecte de photos en temps réel à partir d'un appareil, la collecte de captures d'écran en temps réel, de bloquer les appels entrants et sortants et les messages SMS vers des numéros de téléphone spécifiques, et de lancer un enregistrement audio en temps réel à partir de l'appareil », explique Lookout. EagleMsgSpy est l'un des nombreux outils de surveillance mobile utilisés par les autorités chinoises.
Lookout a également observé deux adresses IP liées à EagleMsgSpy qui ont été utilisées par d'autres outils de surveillance liés à la Chine, tels que CarbonSteal et PluginPhantom. CarbonSteal a été utilisé dans des campagnes ciblant les minorités en Chine, notamment les communautés tibétaine et ouïghoure.
PluginPhantom est un cheval de Troie qui cible les appareils Android. Il a été précédemment déployé par des pirates informatiques chinois. Lookout a noté que des documents internes qu'elle a obtenus font allusion à l'existence d'une version iOS du logiciel espion EagleMsgSpy qui n'a pas encore été découverte.
Comment EagleMsgSpy infecte-t-il les appareils des personnes ciblées ?
Un module d'installation, qui serait vraisemblablement utilisé par des agents des forces de l'ordre ayant obtenu l'accès à l'appareil déverrouillé, est responsable de la livraison d'un module de surveillance sans tête qui reste sur l'appareil et collecte de nombreuses données sensibles. Il s'agirait du seul mécanisme de distribution et ni le programme d'installation ni la charge utile n'ont été observés sur Google Play ou d'autres magasins d'applications.
Au lancement, le programme d'installation présente à l'utilisateur plusieurs options pour installer, lancer et accorder des autorisations supplémentaires au module de surveillance.
Ce programme d'installation suggère également que cet outil de surveillance est probablement utilisé par plusieurs clients de l'éditeur de logiciels, puisqu'elle demande à l'utilisateur d'entrer un « canal » qui, selon la documentation à laquelle les chercheurs de Lookout ont pu accéder, correspond à un « compte ».
Lookout a observé une évolution dans la sophistication de l'utilisation de l'obscurcissement et du stockage des clés chiffrées au fil du temps. Cela indique que ce logiciel de surveillance est un produit activement entretenu dont les créateurs font des efforts continus pour le protéger de la découverte et de l'analyse.
Salt Typhoon : la Chine aurait ciblé les télécommunications aux États-Unis
Un rapport publié récemment indique que la Chine a mené une campagne de piratage massive, surnommée Salt Typhoon, qualifiée de « pire piratage des télécommunications dans l'histoire des États-Unis ». Les pirates informatiques chinois ont infiltré des réseaux télécoms majeurs (AT&T, Verizon, T-Mobile), interceptant des appels en temps réel et accédant à des communications non chiffrées, notamment celles de responsables politiques et gouvernementaux.
Le piratage a également compromis les systèmes enregistrant les demandes d'écoutes téléphoniques des forces de l'ordre, exposant des millions de données sensibles. Selon le sénateur Mark Warner, cette intrusion souligne la vulnérabilité des infrastructures télécoms américaines, souvent obsolètes et mal réglementées.
Il appelle à des mesures de cybersécurité plus strictes, bien que des initiatives similaires aient rencontré une résistance dans le passé. Malgré des efforts pour contrer les cyberattaques chinoises, leurs activités restent agressives, nécessitant une refonte profonde des systèmes critiques pour les protéger des futures intrusions.
Source : Lookout
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous du logiciel malveillant EagleMsgSpy déployé par la Chine ?Voir aussi
La Chine met des Américains sur écoute dans le cadre du « pire piratage des télécommunications de l'histoire des États-Unis », exposant des millions de données sensibles Le ballon-espion chinois aurait utilisé l'infrastructure d'un fournisseur d'accès à Internet américain pour communiquer, selon les services de renseignement américains Dans une nouvelle plainte, les États-Unis accusent TikTok d'envoyer des données personnelles en Chine, qui sont stockées sur des serveurs chinois et accessibles aux employés de ByteDance situés en Chine