برنامج DCHSpy الخبيث للأجهزة المحمولة
كشف باحثو الأمن السيبراني مؤخرًا عن موجة جديدة من برامج التجسس على نظام أندرويد، يُعتقد أنها مرتبطة بوزارة الاستخبارات والأمن الإيرانية. يُوزّع برنامج التجسس، المعروف باسم DCHSpy، متخفيًا في شكل خدمات VPN شرعية، وحتى على شكل Starlink، خدمة الإنترنت عبر الأقمار الصناعية التي تديرها SpaceX. تتزامن هذه الحملة مع تصاعد التوترات في أعقاب الصراع الإسرائيلي الإيراني في يونيو/حزيران 2025.
جدول المحتويات
ظهور DCHSpy
اكتشف الباحثون DCHSpy لأول مرة في يوليو 2024. تُنسب الأداة إلى MuddyWater، وهي مجموعة قرصنة إيرانية مدعومة من الدولة تعمل تحت أسماء مستعارة مختلفة، بما في ذلك Boggy Serpens وCobalt Ulster وEarth Vetala وITG17 وMango Sandstorm (المعروفة سابقًا باسم Mercury) وSeedworm وStatic Kitten وTA450 وYellow Nix.
تم رصد إصدارات مبكرة من DCHSpy تستهدف الناطقين باللغتين الإنجليزية والفارسية عبر قنوات تيليجرام، مستخدمةً مواضيع تنتقد النظام الإيراني. ركز المهاجمون بشكل أساسي على المعارضين والصحفيين والناشطين عبر إغرائهم بخدمات VPN تبدو موثوقة.
القدرات التقنية لـ DCHSpy
DCHSpy هو حصان طروادة نمطي مصمم لجمع البيانات الحساسة من الأجهزة المصابة. تشمل إمكانياته:
- جمع بيانات WhatsApp وجهات الاتصال والرسائل النصية القصيرة وسجلات المكالمات
- استخراج الحسابات المسجلة على الجهاز
- الوصول إلى الملفات وبيانات الموقع
- تسجيل الصوت المحيط والتقاط الصور
كما أن البرمجيات الخبيثة قادرة على الحفاظ على مراقبة مستمرة للضحية، وتحويل الجهاز المخترق إلى أداة تجسس.
تكتيكات التوزيع الخادعة
تنتشر أحدث إصدارات DCHSpy تحت ستار خدمات VPN الشهيرة، بما في ذلك:
- شبكة VPN الأرضية (com.earth.earth_vpn)
- كومودو VPN (com.comodoapp.comodovpn)
- إخفاء VPN (com.hv.hide_vpn)
ومن الأمثلة البارزة على ذلك عينة Earth VPN، التي تم تداولها كملف APK باسم 'starlink_vpn(1.3.0)-3012 (1).apk'، مما يشير إلى أن المهاجمين يستخدمون السمات المرتبطة بـ Starlink كإغراءات.
يُعدّ هذا التوقيت استراتيجيًا، إذ أُطلقت خدمة الإنترنت من ستارلينك في إيران في يونيو/حزيران 2025 خلال فترة انقطاع الإنترنت التي فرضتها الحكومة. ومع ذلك، حظر البرلمان الإيراني الخدمة بعد أسابيع بسبب عمليات غير مصرح بها، مما جعلها محط أنظار الأفراد الذين يسعون للحصول على اتصال غير مقيد.
الارتباطات بالحملات السابقة
يتشارك DCHSpy بنيته التحتية مع SandStrike، وهو برنامج تجسس آخر على نظام أندرويد تم رصده في نوفمبر 2022 لاستهدافه المتحدثين بالفارسية عبر تطبيقات VPN مزيفة. ومثل SandStrike، يُوزّع DCHSpy باستخدام عناوين URL خبيثة تُشارك مباشرةً عبر تطبيقات المراسلة مثل Telegram.
يضيف هذا الاكتشاف الجديد DCHSpy إلى قائمة متزايدة من حملات التجسس التي تستهدف أهدافًا في الشرق الأوسط، والتي تتضمن بالفعل AridSpy، وBouldSpy، وGuardZoo، وRatMilad، وSpyNote.
التصعيد في ظل الصراعات الإقليمية
يعكس ظهور DCHSpy استثمارًا مستمرًا في عمليات التجسس التي تقوم بها جهات مدعومة من إيران. ويتماشى نشره مع جهود إيران لتشديد الرقابة على المعلومات ومراقبة المعارضين، لا سيما بعد وقف إطلاق النار الأخير مع إسرائيل. ويُبرز التطوير المستمر لهذه البرمجيات الخبيثة الطبيعة المتطورة للتهديدات الرقمية في المنطقة.
