Мобилен зловреден софтуер DCHSpy
Изследователи по киберсигурност наскоро откриха нова вълна от артефакти на шпионски софтуер за Android, за които се смята, че са свързани с иранското Министерство на разузнаването и сигурността (MOIS). Шпионският софтуер, известен като DCHSpy, се разпространява, като се маскира като легитимни VPN услуги и дори като Starlink, сателитната интернет услуга, управлявана от SpaceX. Тази кампания съвпада с повишеното напрежение след израелско-иранския конфликт през юни 2025 г.
Съдържание
Появата на DCHSpy
Изследователите за първи път откриха DCHSpy през юли 2024 г. Инструментът се приписва на MuddyWater, подкрепяна от държавата иранска хакерска група, която действа под различни псевдоними, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (преди Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.
Ранните версии на DCHSpy бяха идентифицирани като насочени към хора, говорещи английски и фарси, чрез Telegram канали, използвайки теми, критични към иранския режим. Нападателите се фокусираха предимно върху дисиденти, журналисти и активисти, като ги примамваха с привидно надеждни VPN услуги.
Технически възможности на DCHSpy
DCHSpy е модулен троянски кон, предназначен да събира чувствителни данни от заразени устройства. Неговите възможности включват:
- Събиране на данни от WhatsApp, контакти, SMS съобщения и дневници на обажданията
- Извличане на акаунти, влезли в устройството
- Достъп до файлове и данни за местоположение
- Записване на околна музика и заснемане на снимки
Зловредният софтуер е способен също така да поддържа постоянно наблюдение на жертвата, като ефективно трансформира компрометираното устройство в инструмент за шпиониране.
Подвеждащи тактики за разпространение
Най-новите варианти на DCHSpy се разпространяват под прикритието на популярни VPN услуги, включително:
- VPN за Земята (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Скриване на VPN (com.hv.hide_vpn)
Забележителен пример е примерът за Earth VPN, който беше открит в разпространение като APK файл с име „starlink_vpn(1.3.0)-3012 (1).apk“, което показва, че нападателите използват теми, свързани със Starlink, като примамки.
Моментът е стратегически подходящ, тъй като интернет услугата на Starlink беше пусната в Иран през юни 2025 г. по време на наложено от правителството прекъсване на интернет връзката. Услугата обаче беше забранена седмици по-късно от иранския парламент поради неоторизирани операции, което я направи привлекателна примамка за целеви лица, търсещи неограничена свързаност.
Връзки с предишни кампании
DCHSpy споделя своята инфраструктура със SandStrike, друг шпионски софтуер за Android, маркиран през ноември 2022 г. за насочване към персийскоговорящи чрез фалшиви VPN приложения. Подобно на SandStrike, DCHSpy се разпространява чрез злонамерени URL адреси, споделяни директно през приложения за съобщения като Telegram.
Това ново откритие добавя DCHSpy към нарастващия списък от шпионски кампании, насочени към цели от Близкия изток, който вече включва AridSpy, BouldSpy, GuardZoo, RatMilad и SpyNote.
Ескалация на фона на регионални конфликти
Възраждането на DCHSpy отразява продължаващите инвестиции в шпионски операции от страна на подкрепяни от Иран лица. Разгръщането му е в съответствие с усилията на Иран за засилване на контрола върху информацията и наблюдение на дисиденти, особено след неотдавнашното примирие с Израел. Непрекъснатото развитие на такъв зловреден софтуер подчертава променящия се характер на цифровите заплахи в региона.
