- بواسطة x32x01 ||
قبل ما ندخل في التفاصيل، الفكرة الأساسية إن باحثي الأمن اكتشفوا أداة تجسس باسم EagleMsgSpy (سجلت أقدم عينات عليها من 2017)، وبتشتغل على أجهزة أندرويد.
الأداة دي بتجمع كم هائل من البيانات من الموبايل - رسائل، تسجيل شاشة، صوت، مكالمات، مواقع، ملفات، وغيرهم - وبتبعتها لخوادم تحكم (C2).
التقرير الأولي اتشارك في أواخر سبتمبر 2024 وفتّح ملف كبير على قد إيه النوعية دي من الأدوات ممكن تكون خطيرة.
Earlly history: الأداة موجودة من امتى وليه ده مهم؟
حسب التحليل، EagleMsgSpy ظهرت منذ 2017 على الأقل، لكن مرات ما بتظهرش على السطح بسهولة - أحيانًا بتبقى محطوطة بشكل محلي وبتتفعل لما المتسلّط يوصل الجهاز فعليًا. الاكتشاف المتأخر مهم لأنه معناه إن الشفرة كانت بتتطور وبتُستخدم لفترة طويلة قبل ما تنكشف للعامة. كل ما طولت الفترة دي، كل ما زادت مساحة الأضرار الممكنة.
إزاي بتشتغل EagleMsgSpy؟ (المكونات وطريقة الانتشار)
الأداة متكوّنة من جزئين رئيسيين:
طرق التثبيت اللي اتكشف عنها:
الميزة (والعيب) هنا إنها مش بتنتشر كتير عن بعد؛ بتعتمد غالبًا على وصول مادي أو تعاون مستخدم - لكن لما تتثبت، بتجمع كمية بيانات ضخمة.
إيه البيانات اللي بتجمعها؟ وليه ده خطير؟
EagleMsgSpy مش مقتصرة على نوع واحد من البيانات - دي لستة كاملة:
البيانات دي بتتدمج وتُضغط في أرشيفات بكلمة سر وبعدين تُرفع إلى خادم الـ C2. مشكلة تسريب النوع ده من البيانات واضحة: خصوصية كاملة مهددة، وممكن تُستخدم لمطاردة أو قمع أفراد أو مجموعات.
تقنيات إخفاء وتتبع التحديثات
الإصدارات الحديثة من الأداة استخدمت أدوات مفتوحة المصدر زي ApkToolPlus لتشويش الشفرة وإخفاء بعض التعليميات، وبتتواصل مع خوادم C2 عبر WebSockets وSTOMP protocol. ده بيخلي تحليلها أصعب وبيقلل فرص اكتشافها بسرعة على أجهزة الضحايا.
مين ورا الأداة؟ هل ليها علاقة بالصين؟
التحقيق أشار إلى ترابط بين البنية التحتية وكود المصدر مع شركة صينية اسمها Wuhan ZRTZ / Wuhan Chinasoft Token Information Technology وبعض طلبات براءات اختراع للشركة بتتكلم عن "طرق تلقائية لجمع الأدلة" و"بناء مخططات علاقات" - ده خلا المحلّلين يربطوا الأداة باحتمال استخدامها من جهات إنفاذ القانون داخل الصين. كمان فيه أدلة على تداخل عناوين IP وشهادات SSL مع أدوات مراقبة صينية تانية اللي استهدفت مجموعات مثل التبتيين والأويغور قبل كده.
نقطة مهمة: الأداة غالبًا بتحتاج وصول فعلي - إزاي ده بيحميك؟
ميزة/عيب EagleMsgSpy إنها عادة تتطلب وصولًا فعليًا لتثبيتها، سواء بواسطة USB أو عن طريق إقناع الضحية تثبيت ملف. وده معناه إن الوعي الأمني مهم جدًا:
توصيات عملية لحماية الأجهزة والأفراد
الخلاصة - إيه اللي نقاطعه منك؟
الأداة دي بتجمع كم هائل من البيانات من الموبايل - رسائل، تسجيل شاشة، صوت، مكالمات، مواقع، ملفات، وغيرهم - وبتبعتها لخوادم تحكم (C2).
التقرير الأولي اتشارك في أواخر سبتمبر 2024 وفتّح ملف كبير على قد إيه النوعية دي من الأدوات ممكن تكون خطيرة.
Earlly history: الأداة موجودة من امتى وليه ده مهم؟ 
حسب التحليل، EagleMsgSpy ظهرت منذ 2017 على الأقل، لكن مرات ما بتظهرش على السطح بسهولة - أحيانًا بتبقى محطوطة بشكل محلي وبتتفعل لما المتسلّط يوصل الجهاز فعليًا. الاكتشاف المتأخر مهم لأنه معناه إن الشفرة كانت بتتطور وبتُستخدم لفترة طويلة قبل ما تنكشف للعامة. كل ما طولت الفترة دي، كل ما زادت مساحة الأضرار الممكنة.إزاي بتشتغل EagleMsgSpy؟ (المكونات وطريقة الانتشار) 
الأداة متكوّنة من جزئين رئيسيين:- ملف APK بيتم تثبيته على الجهاز.
- عميل مراقبة (headless) - يعني شغّال في الخلفية بدون واجهة.
طرق التثبيت اللي اتكشف عنها:
- تثبيت مباشر عبر وصلة USB (مطلوب وصول فعلي).
- رمز QR أو ملف بيتم تحميله وتثبيته يدويًا.
- التثبيت بيحتاج "قناة" أو حساب متوافق مع البائع علشان يحمي التفعيل.
الميزة (والعيب) هنا إنها مش بتنتشر كتير عن بعد؛ بتعتمد غالبًا على وصول مادي أو تعاون مستخدم - لكن لما تتثبت، بتجمع كمية بيانات ضخمة.
إيه البيانات اللي بتجمعها؟ وليه ده خطير؟ 
EagleMsgSpy مش مقتصرة على نوع واحد من البيانات - دي لستة كاملة:- رسائل المحادثة من تطبيقات زي QQ, Telegram, Viber, WhatsApp, WeChat.
- تسجيل شاشة باستخدام Media Projection API والتقاط Screenshots.
- تسجيلات صوتية من المايكروفون.
- سجلات المكالمات، دفتر العناوين، والـ SMS.
- إحداثيات GPS ومعلومات الشبكة وWi-Fi.
- ملفات على وحدة التخزين الخارجية وإشارات مرجعية من المتصفح.
البيانات دي بتتدمج وتُضغط في أرشيفات بكلمة سر وبعدين تُرفع إلى خادم الـ C2. مشكلة تسريب النوع ده من البيانات واضحة: خصوصية كاملة مهددة، وممكن تُستخدم لمطاردة أو قمع أفراد أو مجموعات.
تقنيات إخفاء وتتبع التحديثات 
/
الإصدارات الحديثة من الأداة استخدمت أدوات مفتوحة المصدر زي ApkToolPlus لتشويش الشفرة وإخفاء بعض التعليميات، وبتتواصل مع خوادم C2 عبر WebSockets وSTOMP protocol. ده بيخلي تحليلها أصعب وبيقلل فرص اكتشافها بسرعة على أجهزة الضحايا.مين ورا الأداة؟ هل ليها علاقة بالصين؟ 
التحقيق أشار إلى ترابط بين البنية التحتية وكود المصدر مع شركة صينية اسمها Wuhan ZRTZ / Wuhan Chinasoft Token Information Technology وبعض طلبات براءات اختراع للشركة بتتكلم عن "طرق تلقائية لجمع الأدلة" و"بناء مخططات علاقات" - ده خلا المحلّلين يربطوا الأداة باحتمال استخدامها من جهات إنفاذ القانون داخل الصين. كمان فيه أدلة على تداخل عناوين IP وشهادات SSL مع أدوات مراقبة صينية تانية اللي استهدفت مجموعات مثل التبتيين والأويغور قبل كده.نقطة مهمة: الأداة غالبًا بتحتاج وصول فعلي - إزاي ده بيحميك؟ 
ميزة/عيب EagleMsgSpy إنها عادة تتطلب وصولًا فعليًا لتثبيتها، سواء بواسطة USB أو عن طريق إقناع الضحية تثبيت ملف. وده معناه إن الوعي الأمني مهم جدًا:- ما توصّلش الموبايل لأي جهاز غير موثوق.
- ماتثبتش ملفات أو تطبيقات من مصادر غير موثوقة.
- افحص رموز QR قبل ما تمسحها - أحيانًا بتبقى فخ.
توصيات عملية لحماية الأجهزة والأفراد 
- افصل USB ولاتوصِل الموبايلات بأجهزة مريبة.
- ماتثبتش APK من خارج المتاجر الرسمية (Play Store أو متاجر موثوقة).
- فعّل التحقق بخطوتين والحماية بكلمة مرور قوية.
- حدّث نظام التشغيل والتطبيقات باستمرار عشان تستقبل تصحيحات الأمان.
- استخدم حلول أمنية موثوقة على الموبايل تفحص التطبيقات وتراقب السلوك المشبوه.
- عند الشك، اعمل فحص احترافي أو اعد ضبط المصنع بعد الاحتفاظ بنسخة احتياطية آمنة.
- راقب صلاحيات التطبيقات: لو تطبيق بسيط طالب صلاحيات تسجيل شاشة أو وسائط كتيرة، خليك حذر.
الخلاصة - إيه اللي نقاطعه منك؟ 
- EagleMsgSpy أداة مراقبة معقدة بجمع بيانات واسعة من أجهزة أندرويد.
- شغالة من 2017 على الأقل وتم رصد نشاطات مؤخرًا (عينات رفعت لـ VirusTotal في 25 سبتمبر 2024).
- تتطلب غالبًا وصولًا فعليًا لتثبيت الحِمولة، لكن بعد التثبيت تصير خطيرة جدًا.
- التهديد الواقعي بيستلزم وعي أمني، تحديثات، وفَحْص مستمر للأجهزة.
التعديل الأخير: