概述
根據資安業者Lookout,EagleMsgSpy 是一款由中國公司開發的高級監控工具,自 2017 年起 持續運作,主要用於監控特定人群,包括:維吾爾族、藏族、法輪功人士、香港民主倡議者等。
這款間諜軟體被設計為一種全面的數據收集工具,其功能強大且隱蔽,專為實現大規模監控而設。
核心功能與運作機制
EagleMsgSpy 的結構分為兩個部分:
- 安裝器 APK:負責將核心監控模組部署到目標設備。
- 隱藏式監控客戶端:安裝後在設備背景無界面運行,用戶無法察覺其活動。
該工具能夠從 Android 設備收集以下多種類型的數據:
- 即時通訊應用訊息(如 QQ、Telegram、Viber、WhatsApp 和微信)
- 通話記錄、聯絡人清單與 SMS 訊息
- GPS 位置數據
- 螢幕錄影與音訊錄音
- 已安裝應用的清單、外部存儲檔案及網路活動數據
收集到的數據會存儲在隱藏目錄中,經加密壓縮後,通過安全連接傳輸至指揮與控制(C2)伺服器,供進一步分析和處理。
技術特點與安全隱匿性
最新版 EagleMsgSpy 採用了 高級混淆技術,以逃避檢測和追蹤,並使用以下手段強化其隱蔽性:
- 使用 ApkToolPlus 對代碼進行混淆處理。
- 通過 WebSocket 與 C2 伺服器通信,並使用 STOMP 協議進行指令交互。
- 配備加密的管理面板,僅限授權用戶訪問,支持實時數據監控。
研究人員發現該管理面板中存在「getListIOS()」函數,顯示該工具可能有尚未公開的 iOS 版本。
與中國政府及企業的聯繫
調查顯示,EagleMsgSpy 的開發與運營與 武漢中軟通正信息技術有限公司(Wuhan ZRTZ Information Technology Co., Ltd.)密切相關。該公司曾申請多項專利,詳細描述了數據收集與分析技術,例如:
- 生成嫌疑人社交網路關係圖。
- 自動化證據蒐集與處理系統。
研究人員進一步發現,其基礎設施的 IP 地址曾與其他知名的中國監控工具(如 PluginPhantom 和 CarbonSteal)共享,這些工具過去針對藏族和維吾爾族社群進行監控。
此外,部分軟體樣本包含寫死的 武漢地區電話號碼,暗示其可能與當地公共安全機構直接合作。
部署方式與法律風險
EagleMsgSpy 的部署需要物理訪問目標設備,例如透過 USB 連接安裝監控模組,或利用掃描 QR 碼的方式激活。
雖然該工具被定位為「司法監控產品」,但資安專家警告,若被不當使用,將對隱私與人權構成嚴重威脅。
結論
EagleMsgSpy 的揭露凸顯了中國利用技術進行大規模監控的持續努力。這一工具的出現反映了全球日益擴大的技術監視趨勢,尤其是在國家安全或執法名義下的應用。
國際社會應對此類工具保持警惕,並推動加強數據隱私與技術濫用的監管,以減少對弱勢群體和普通公民的影響。
EagleMsgSpy間諜軟體的部分的入侵指標(IOCs):
dab40467824ff3960476d924ada91997ddfce0b0
fef7ad2b74db3e42909c04816c66c61c61b7a8c4
ddc729ecf21dd74e51e1a2f5c8b1d2d06ed4a559
f092dfab5b1fbff38361077f87805403318badfa
d4e943ba47f762194bcf3c07be25a9f6ea5a36b0
cea796beb252d1ab7db01d8a0103f7cca5d0955d
5208039ef9efb317cc2ed7085ca98386ec31b0b4
5d935d5ab7b7c6b301a4c79807c33e0bee23e3ff
5e282b0395093c478c36eda9b4ee50c92d8cf6eb
ec580142c0dff25b43f8525f9078dd3d6a99361c
87d925a95d584e4c46545579b01713f6d74eee00
880c46bf7e65e3f9a081f42582af1f072e22cf1a
0b1d3d87a453f63129e73b2a32d95ef3eea94b4e