Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós per a mòbils DCHSpy

Programari maliciós per a mòbils DCHSpy

El Mezo el Programari maliciós mòbil, Programari espia
Traduir a:

Investigadors de ciberseguretat han descobert recentment una nova onada d'artefactes de programari espia per a Android, que es creu que estan vinculats al Ministeri d'Intel·ligència i Seguretat (MOIS) iranià. El programari espia, conegut com a DCHSpy, es distribueix disfressant-se de serveis VPN legítims i fins i tot com a Starlink, el servei d'internet per satèl·lit operat per SpaceX. Aquesta campanya coincideix amb l'augment de les tensions després del conflicte entre Israel i l'Iran el juny de 2025.

L’aparició de DCHSpy

Els investigadors van detectar DCHSpy per primera vegada el juliol de 2024. L'eina s'atribueix a MuddyWater, un grup de pirates informàtics iranià recolzat per l'estat que opera sota diversos àlies, com ara Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriorment Mercury), Seedworm, Static Kitten, TA450 i Yellow Nix.

Es van identificar versions primerenques de DCHSpy dirigides a persones de parla anglesa i farsi a través dels canals de Telegram, utilitzant temes crítics amb el règim iranià. Els atacants es van centrar principalment en dissidents, periodistes i activistes, atraient-los amb serveis VPN aparentment fiables.

Capacitats tècniques de DCHSpy

DCHSpy és un troià modular dissenyat per recopilar dades sensibles de dispositius infectats. Les seves capacitats inclouen:

  • Recopilació de dades de WhatsApp, contactes, missatges SMS i registres de trucades
  • S'estan extraient els comptes que han iniciat sessió al dispositiu
  • Accés a fitxers i dades d'ubicació
  • Gravació d'àudio ambiental i captura de fotos

El programari maliciós també és capaç de mantenir una vigilància persistent de la víctima, transformant eficaçment el dispositiu compromès en una eina d'espionatge.

Tàctiques de distribució enganyoses

Les últimes variants de DCHSpy s'estan difonent sota l'aparença de serveis VPN populars, com ara:

  • VPN de la Terra (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Amaga la VPN (com.hv.hide_vpn)

Un exemple notable és la mostra de VPN Earth, que es va trobar circulant com un APK anomenat 'starlink_vpn(1.3.0)-3012 (1).apk', cosa que indica que els atacants utilitzen temes relacionats amb Starlink com a esquers.

El moment és estratègic, ja que el servei d'internet de Starlink es va llançar a l'Iran el juny de 2025 durant una apagada d'internet imposada pel govern. Tanmateix, el servei va ser il·legalitzat setmanes després pel parlament iranià a causa d'operacions no autoritzades, convertint-lo en un esquer atractiu per a individus específics que busquen connectivitat sense restriccions.

Connexions amb campanyes anteriors

DCHSpy comparteix la seva infraestructura amb SandStrike, un altre programari espia per a Android descobert el novembre de 2022 per atacar parlants de persa a través d'aplicacions VPN falses. Igual que SandStrike, DCHSpy es distribueix mitjançant URL malicioses compartides directament a través d'aplicacions de missatgeria com ara Telegram.

Aquest nou descobriment afegeix DCHSpy a una llista creixent de campanyes de programari espia dirigides a objectius de l'Orient Mitjà, que ja inclou AridSpy, BouldSpy, GuardZoo, RatMilad i SpyNote.

Escalada enmig de conflictes regionals

El ressorgiment de DCHSpy reflecteix una inversió contínua en operacions d'espionatge per part d'actors recolzats per l'Iran. El seu desplegament s'alinea amb els esforços de l'Iran per reforçar el control de la informació i supervisar els dissidents, especialment després del recent alto el foc amb Israel. El desenvolupament continu d'aquest programari maliciós posa de manifest la naturalesa canviant de les amenaces digitals a la regió.

Tendència

Més vist

Carregant...