Mobilní malware DCHSpy
Výzkumníci v oblasti kybernetické bezpečnosti nedávno odhalili novou vlnu artefaktů špionážního softwaru pro Android, o kterém se předpokládá, že souvisí s íránským ministerstvem zpravodajských služeb a bezpečnosti (MOIS). Špionážní software, známý jako DCHSpy, je distribuován maskováním za legitimní VPN služby a dokonce i za Starlink, satelitní internetovou službu provozovanou společností SpaceX. Tato kampaň se shoduje se zvýšeným napětím po izraelsko-íránském konfliktu v červnu 2025.
Obsah
Vznik DCHSpy
Výzkumníci poprvé odhalili DCHSpy v červenci 2024. Nástroj je připisován MuddyWater, státem podporované íránské hackerské skupině, která operuje pod různými přezdívkami, včetně Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (dříve Mercury), Seedworm, Static Kitten, TA450 a Yellow Nix.
Byly identifikovány rané verze kybernetického frakce DCHSpy, které cílily na anglicky a persky mluvící osoby prostřednictvím telegramových kanálů a používaly témata kritická vůči íránskému režimu. Útočníci se primárně zaměřovali na disidenty, novináře a aktivisty tím, že je lákali zdánlivě důvěryhodnými službami VPN.
Technické možnosti DCHSpy
DCHSpy je modulární trojský kůň určený ke sběru citlivých dat z infikovaných zařízení. Mezi jeho schopnosti patří:
- Shromažďování dat, kontaktů, SMS zpráv a protokolů hovorů z WhatsAppu
- Extrahování účtů přihlášených do zařízení
- Přístup k souborům a údajům o poloze
- Nahrávání okolního zvuku a pořizování fotografií
Malware je také schopen udržovat trvalý dohled nad obětí, čímž efektivně promění napadené zařízení ve špionážní nástroj.
Klamavé distribuční taktiky
Nejnovější varianty DCHSpy se šíří pod rouškou populárních VPN služeb, včetně:
- VPN pro Zemi (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Skrýt VPN (com.hv.hide_vpn)
Pozoruhodným příkladem je ukázka Earth VPN, která se objevila v oběhu jako APK soubor s názvem „starlink_vpn(1.3.0)-3012 (1).apk“, což naznačuje, že útočníci používají témata související se Starlinkem jako návnady.
Načasování je strategické, protože internetová služba Starlink byla v Íránu spuštěna v červnu 2025 během vládou nařízeného výpadku internetu. Íránský parlament však službu o několik týdnů později postavil mimo zákon kvůli neoprávněnému provozu, což z ní učinilo lákavou návnadu pro cílené osoby hledající neomezené připojení.
Propojení s předchozími kampaněmi
DCHSpy sdílí svou infrastrukturu se SandStrike, dalším spywarem pro Android, který byl v listopadu 2022 označen za cílení na persky mluvící osoby prostřednictvím falešných VPN aplikací. Stejně jako SandStrike je i DCHSpy distribuován pomocí škodlivých URL adres sdílených přímo přes aplikace pro zasílání zpráv, jako je Telegram.
Tento nový objev přidává DCHSpy k rostoucímu seznamu spywarových kampaní zaměřených na cíle na Blízkém východě, který již zahrnuje AridSpy, BouldSpy, GuardZoo, RatMilad a SpyNote.
Eskalace uprostřed regionálních konfliktů
Obnovení vírusu DCHSpy odráží pokračující investice do špionážních operací ze strany aktérů podporovaných Íránem. Jeho nasazení je v souladu s íránským úsilím o zpřísnění kontroly nad informacemi a sledování disidentů, zejména po nedávném příměří s Izraelem. Neustálý vývoj takového malwaru zdůrazňuje vyvíjející se povahu digitálních hrozeb v regionu.
