La empresa de seguridad informática Lookout ha descubierto recientemente un software espía para Android llamado EagleMsgSpy, y cree que está siendo controlado por China para monitorear los teléfonos de los usuarios. Este software espía puede robar una gran cantidad de datos de los teléfonos Android, incluyendo mensajes de comunicación, grabaciones de pantalla, registros de llamadas, entre otros. Hasta el momento, no se ha encontrado una versión para el sistema iOS.
Según los datos de la versión subidos a VirusTotal, este software espía ha estado en uso desde 2017 y sigue siendo desarrollado y evolucionando, existiendo múltiples variantes. El equipo de seguridad de Lookout afirma que no han encontrado la presencia de este programa malicioso en la tienda de aplicaciones de Google Play u otras tiendas de aplicaciones.
El informe de análisis de Lookout señala que este software espía parece ser proporcionado por un desarrollador de software a varios clientes, ya que solicita a los usuarios que ingresen un canal específico, siendo cada canal correspondiente a un usuario. A través del análisis de muestras históricas, los expertos en seguridad descubrieron que este programa malicioso está en constante cambio en cuanto a la forma en que encripta y almacena las claves, lo que demuestra la importancia que el desarrollador le da a la capacidad de ocultarse y resistir el análisis.
El principal objetivo de este software espía es robar datos de los teléfonos Android, incluyendo mensajes de aplicaciones de comunicación (QQ, Telegram, Viber, WhatsApp, WeChat), monitorear la pantalla, registros de llamadas, mensajes de texto, información de contactos, coordenadas GPS, información de redes inalámbricas, marcadores de navegación, entre otros. Una vez que los datos son robados, se almacenan en una carpeta oculta en el sistema de archivos del dispositivo, se comprimen y se encriptan antes de ser enviados a un servidor malicioso. La figura 1 muestra el documento de instrucciones que los investigadores de Lookout encontraron para este software espía, que incluye información sobre cómo instalarlo y usarlo.
Durante el rastreo de EagleMsgSpy, los investigadores de Lookout descubrieron que la dirección IP utilizada por el servidor malicioso estaba relacionada con un subdominio de la empresa china Wuhan Zhongqi Softcom Technology Co., Ltd. Posteriormente, se investigó el dominio raíz utilizado por esta empresa china, tzsafe.com, y se descubrió que la cadena “tzsafe” es la contraseña del módulo de monitoreo del software espía. Por lo tanto, los analistas creen que este software espía fue desarrollado y mantenido por Wuhan Zhongqi Softcom Technology Co., Ltd. La figura 2 muestra un diagrama que resume las conexiones entre el servidor malicioso utilizado por este software espía, según lo descubierto por los investigadores de Lookout.
Los usuarios deben estar alerta y tomar medidas de precaución, como instalar un software antivirus confiable y escanear regularmente sus teléfonos, además de mantener actualizados tanto el sistema como las aplicaciones. También es importante descargar aplicaciones solo desde sitios web oficiales y ser más sensibles a los ataques de phishing en línea. Estas medidas pueden reducir significativamente el riesgo de robo de datos y proteger la privacidad y seguridad personal.