中国政府与恶意软件操作合并形成新监控平台

重点内容总结

• 中国政府似乎正在将其法律执行部门与恶意软件操作合并，创建新的Android设备监控平台。
• 被称为“EagleMsgSpy”的恶意软件与中国共产党法律执行机构和黑客活动之间存在显著重叠。
• 该恶意软件可能自2017年起就在流通，其开发者被认为是中国版的NSO集团。
• EagleMsgSpy首次以无害应用程序的形式出现，并通过一系列命令和控制服务器进行监控活动。

中国似乎正在将其政府与恶意软件操作整合，以创建新的Android设备监控平台。

据安全供应商Lookout的研究团队透露，这款恶意软件名为“EagleMsgSpy”，它显示出中国共产党法律执行部门与其相关黑客操作之间的显著重叠。

“Lookout的研究人员发现了一种由中国威胁行为者分发的新型监控工具，怀疑其用作合法拦截工具，”Lookout在报告中表示。

“这种关联与恶意软件及中国大陆地方安全局使用的命令和控制（C2）基础设施的重叠有关。”

这款恶意软件自2017年起就被认为在流通。

EagleMsgSpy恶意软件的开发者是否中国版的NSO集团？

据Lookout团队介绍，EagleMsgSpy在私人和政府部门利益的结合上独具特色。研究人员追踪到该恶意软件的植入源头是一家位于武汉的小型开发者。

然而，公司产品历史的简要查看显示，它专注于为法律执行和政府监控目的开发取证工具。这使得该开发者在一定程度上类似于中国的NSO集团等机构，这些机构专门在法医和监控产品的名义下向政府机构出售恶意软件。

“2017年早期版本的EagleMsgSpy指定了一个硬编码的C2，IP地址为221.0.90.53。在该版本的EagleMsgSpy被打包时，这个IP地址正是两个中国政府网站的解析IP地址，”Lookout解释道。

“这使得Lookout的研究人员较为自信地评估该工具被用于中国大陆一个或多个安全局位置的合法拦截。”

与其他基于Android的恶意软件产品不同，EagleMsgSpy最初作为无害应用程序进入受害者的设备。首次安装时，该过程自我标识为“APKToolPlus”，以掩盖其真实身份。

从此，恶意软件会拨打位于中国大陆的一系列命令和控制服务器（另一个服务器位于日本），然后执行定期监控活动，例如拦截短信和记录设备的浏览和通讯。

值得庆幸的是，这款恶意软件包在安装和执行时需要本地访问权限。然而，前往中国大陆旅行或从中国供应商那里购买可疑手机的用户，可能需要密切关注他们的设备，并进行全面的安全扫描。