So‘nggi yillarda mobil qurilmalar, ayniqsa Android operatsion tizimi, kiberjinoyatchilar uchun asosiy hujum nuqtasiga aylandi. Yangi mobil troyanlar tobora murakkablashib, zamonaviy xavfsizlik choralarini ham aylanib o‘tishga intilmoqda.
Shunday tahdidlarning eng ko‘zga ko‘ringan namunasidan biri — EagleSpy RAT.Bugungi maqolamizda aynan ushbu RAT haqida imkon qadar ko’proq ma’lumot berib o’tamiz.
EagleSpy RAT nima va qanday ishlaydi?
EagleSpy — bu zararli dastur turkumiga kiruvchi Remote Access Trojan (RAT) bo‘lib, foydalanuvchi qurilmasini yashirincha boshqarish, kuzatish va shaxsiy ma’lumotlarni o‘g‘irlash imkonini beradi. 2024–2025 yillarda Darknet bozorlarida faol sotuvga chiqarilgan ushbu RAT hozirda ko‘plab kiberjinoyatchilar va stalkerware foydalanuvchilari tomonidan qo‘llanilmoqda.
EagleSpy — Android qurilmasiga o‘rnatilgandan so‘ng, foydalanuvchi bergan ruxsatlar yordamida mobil telefonning deyarli barcha imkoniyatlarini masofadan boshqaradi. U maxsus packer va obfuscation texnologiyalari bilan himoyalangan bo‘lib, Play Protect va boshqa antiviruslarni aylanib o‘tishga harakat qiladi.
EagleSpy foydalanuvchi qurilmasida quyidagi imkoniyatlarga ega:
Ekranni real vaqt rejimida kuzatish va yozib olish.
Kamera va mikrofonni yashirincha yoqib, audio/video kuzatuv o‘rnatish.
GPS orqali joylashuvni aniqlash.
Qo‘ng‘iroqlar, SMS xabarlar, kontaktlar va messenjerdagi ma’lumotlarni o‘qish.
Qurilmadagi fayllarni o‘g‘irlash yoki masofadan o‘chirish.
Ilovalarni o‘rnatish va o‘chirish.
Root huquqlarini olishga urinish.
🛡️ Google Play Protect va Android cheklovlarini qanday aylanib o‘tadi?
Google Play Protect bypass — APK’ni o‘zgacha packing va obfuscation texnikasi bilan tahlildan yashiradi.EagleSpy ishlab chiqaruvchilari troyan imkoniyatlarini kengaytirish uchun zamonaviy social engineering usullaridan foydalanadi. U foydalanuvchini zararli .apk faylni yuklab olishga va xavfli ruxsatlarni (masalan, USE_ACCESSIBILITY yoki BIND_DEVICE_ADMIN) berishga majbur qiladi.
Android 13’dan boshlab Google yangi Restricted Settings mexanizmini joriy qilgan bo‘lsa-da, EagleSpy foydalanuvchini “soxta VPN” yoki “batareya optimizatori” ilovasi sifatida aldab, ruxsat olishga urinishni davom ettiradi. Shu tarzda, u Play Protect’ning oddiy signatura asosidagi tekshiruvini ham chetlab o‘tishi mumkin.
Nega xavfli?
Agar zararli RAT DEVICE ADMIN huquqini olsa foydalanuvchi uni oddiy usulda o‘chira olmaydi.Ilova doim faol bo‘lib turadi va “masofadan o‘chirish”, “ekran qulflash” yoki “root olish” kabi xavfli ishlarni qiladi.Ba’zi RAT’lar ushbu ruxsatni olish uchun soxta “Antivirus” yoki “Device Cleaner” sifatida ko‘rinadi.
Muammo nimada?
Gap shundaki aksariyat foydalanuvchilar Accessibility permission nima ekanligini tushunishmaydi, Play Protect belgilab ogohlantirgunga qadar RAT allaqachon:Masofaviy boshqaruvni o‘rnatadi,o‘zini “Device Admin” qilib oladi (o‘chirishni qiyinlashtiradi).
Shuning uchun Google ham, mobil EDR kompaniyalari ham Unknown Sources va Accessibility ruxsatlarni eng katta tahdid sifatida ko‘radi.
Google tashqi manbadan o‘rnatilgan APK faylni qanday tekshiradi?
Agar foydalanuvchi .apk’ni yuklab olib qo‘lda o‘rnatsa o‘rnatish jarayonida Play Protect APK’ni Google serveriga yuborib, hash va signaturani tekshiradi.Agar APK oldin malware sifatida belgilangan bo‘lsa, Play Protect install paytida yoki install’dan keyin:
“Potentially Harmful App” ogohlantirishini chiqaradi va “Uninstall” tugmasini taklif qiladi.
Agar APK yangi packer bilan obfuscation qilingan bo‘lsa va Google signature bazasida yo‘q bo‘lsa — Play Protect faqat davriy runtime scanning yordamida (masalan, zararli API chaqiruvlar) uni aniqlaydi. Bu esa ko‘pincha kechikadi.
Qanday tarqatiladi?
EagleSpy RAT asosan quyidagi yo‘llar bilan tarqatiladi:
1.Soxta ilovalar: Foydalanuvchilarni Play Store’dan tashqaridagi manbalardan APK o‘rnatishga undash.
2.Spear phishing: Maqsadli xabarlar yoki havolalar orqali foydalanuvchini aldash.
3.Darknet bozorlarida pullik builder va C2 (Command & Control) panellar orqali tarqatish.
EagleSpy qachondan sotuvda va kimlar foydalanadi?
EagleSpy — bu yangi narsa emas, lekin aynan EagleSpy v5 versiyasi 2024 yil oxiri — 2025 yil boshidan beri Darknet bozorlarida faol sotilmoqda. Dastlabki forum va underground reklamalar 2024 yil noyabr–dekabr oylarida chiqqan.Ushbu RAT 1 oylik litsenziya yoki lifetime lisenziya sifatida sotiladi. Narxi taxminan $200–$800 atrofida, exploit pack bilan esa qimmatroq bo‘lishi mumkin,sotuvchilar maxsus Telegram va Discord kanallar orqali mijozlarga 24/7 texnik yordam va yangilanishlar taklif qiladi.
EagleSpy v5 versiyasida yangilik sifatida Android 13’da kuchaygan Restricted Settings nazoratini aylanib o‘tish texnikasi qo‘shilgan.Obfuscation (kodni chigal qilib yashirish) va anti-emulation texnikalari bilan hozircha Play Protect’dan qochish imkoniyatlariga ega bo’lmoqda.
Ko‘pincha bunday RAT’lardan:
1.O‘rtacha darajadagi kiberjinoyatchilar.
2.Stalkerlar — oilaviy kuzatuv uchun.
3.Yollangan detektivlar yoki maxsus xizmatlar
4.Ba’zi holda kichik APT-guruhlar foydalanadi.
EagleSpy RAT muallifi kim?
Rasmiy muallif yoki aniq kiberjinoyatchi guruh nomi ochiq ma’lum emas, chunki bunday professional RAT’lar ko‘pincha anonim tarzda ishlab chiqiladi va sotiladi.
Tahlillardan chiqqan ehtimollar:
EagleSpy oldingi AndroRAT, AhMyth, L3MON kabi open-source RAT’larning yangicha variantidan kelib chiqqan bo‘lishi mumkin. Kod izlarida eski RAT framework’lariga o‘xshash struktura topilgan.
Darknet’dagi ayrim forumlarda EagleSpy Team degan nickname bilan chiqishadi. Bu ko‘pincha 1–2 nafar private developer + packer coder va support manager bo‘lishi mumkin.
Ayrim tahlillarga ko‘ra, EagleSpy’ning C2 serverlari Rossiya yoki MDH zonasi IP bloklarida hosting qilinadi. Biroq bu ham aniq dalil emas, faqat geo-IP bo‘yicha taxmin.
Rasmiy malware researcher’lar (masalan, Kaspersky, ESET yoki ThreatFabric) hali bu RAT’ni APT-guruhlar bilan bog‘lab chiqmagan — chunki hozircha ko‘proq pullik josuslik yoki stalkerware segmentida ishlatilmoqda.
📲 Qaysi Android versiyalarini nishonga oladi?
EagleSpy hozirgi holatda Android 8 (Oreo) dan Android 14 (Upside Down Cake) gacha keng test qilingan. Ayrim sotuvchilar Android 15–16 versiyalarni ham qo‘llab-quvvatlaymiz deb reklama qiladi, ammo real testlar va mustaqil tahlillar hali mavjud emas.
Muhimi — EagleSpy hech qanday murakkab yoki 0-kun exploit zanjiri ishlatmaydi. Asosiy qurol — foydalanuvchini ruxsat berishga ko‘ndirish. Yangi Android versiyalarida (masalan, Android 16 Developer Preview) Accessibility va Device Admin ruxsatlari yanada qat’iy nazorat ostiga olinmoqda, bu esa troyanning ishini qiyinlashtiradi.
Google bu RAT haqida nima deydi?
Rasmiy ravishda Google bunday maxsus RAT’lar haqida individual izoh bermaydi, lekin Google Threat Analysis Group (TAG) yoki Google Project Zero agar u APT-guruhlar bilan bog‘liq bo‘lsa, xavfsizlik bloglarida tahlil chiqaradi.
Hozircha EagleSpy haqida rasmiy TAG hisobotlari chiqmagan, lekin Play Protect jamoasi ushbu RAT’ning yangi packer/obfuscatorlarini kuzatayotgani aniq. Chunki EagleSpy exploit chain’lari ko‘pincha Unknown Sources orqali tarqatiladi — bu esa Google Play Store’da emas, shuning uchun Play Protect faqat runtime scanning va behavioral analysis orqali aniqlaydi.
Google umuman bunday RAT’larni “Potentially Harmful Applications (PHA)” sifatida belgilaydi va Android ekotizimida ularni bloklashga urinadi. Lekin foydalanuvchi .apk’ni tashqi manbadan qo‘lda o‘rnatsa va Play Protect’ni o‘chirsa — bu holda aniqlash juda qiyin.
EagleSpy GitHub’da bormi?
To‘liq ishlaydigan, original EagleSpy RAT manbasi GitHub’da mavjud emas. Sababi:
1.Bu tijorat RAT bo‘lgani sababli mualliflar undan pul ishlashadi.
2.GitHub bunday zararli kodni DMCA asosida tezda o‘chirib tashlaydi.
Ammo GitHub’da AndroRAT, AhMyth, L3MON kabi ochiq kodli klonlar mavjud bo‘lib, ular faqat o‘quv yoki POC (proof-of-concept) sifatida ishlatiladi. Asl EagleSpy builder va C2 paneli esa faqat Darknet’da sotiladi.
Qiziqarli faktlar va real voqea
EagleSpy ko‘pincha “har qanday rafiqani tekshirish” yoki “xodimlarni kuzatish” kabi noqonuniy maqsadlar bilan sotiladi.
VirusTotal va Hybrid Analysis’da EagleSpy namunalarining hash va tahlil natijalari vaqti-vaqti bilan aniqlanadi.
2024 yilda Hindistonda bir ish beruvchi kompaniya EagleSpy’ni xodimlarga “korporativ VPN” sifatida o‘rnattirib, yashirin kuzatgani fosh bo‘lgan va janjal sudgacha yetgan.
✅ Himoyalanish bo‘yicha CWGSecurity tavsiyalari
1.Faqat rasmiy Google Play Store’dan ilova yuklab oling.
2.“Unknown Sources” (noma’lum manbalar) funksiyasini faollashtirmang.
3.Accessibility va Device Admin ruxsatlarini kimga berayotganingizni qat’iy nazorat qiling
4.Google Play Protect va mobil EDR (Lookout, Zimperium) kabi qo‘shimcha himoya vositalarini yoqib yuring.
5.Har qanday .apk faylni VirusTotal orqali tekshirib ko‘ring.
Xulosa
EagleSpy RAT — zamonaviy mobil josuslik quroli bo‘lib, Android foydalanuvchilarini ruxsatlar va ijtimoiy muhandislik orqali tarqalmoqda. Kiberjinoyatchilar va stalkerlar uchun “qulay vosita” sifatida reklama qilinayotgan bu RAT’dan himoyalanishning yagona yo‘li — hushyorlik va ruxsatlarni qat’iy nazorat qilishdir.
CWGSecurity sizni eng yangi mobil tahdidlar va kiberxavfsizlik yangiliklari bilan muntazam xabardor qilib boradi. Yana ko‘proq bunday tahlillar va foydali maslahatlar uchun Telegram kanalimizga qo‘shiling: @cwgsecurity
Comments