DCHSpy mobil malware
Cybersikkerhedsforskere har for nylig afdækket en ny bølge af Android-spyware-artefakter, der menes at være forbundet med det iranske ministerium for efterretnings- og sikkerhedspolitik (MOIS). Spywaren, kendt som DCHSpy, distribueres ved at forklæde sig som legitime VPN-tjenester og endda som Starlink, den satellitbaserede internettjeneste, der drives af SpaceX. Denne kampagne falder sammen med de øgede spændinger efter Israel-Iran-konflikten i juni 2025.
Indholdsfortegnelse
Fremkomsten af DCHSpy
Forskere opdagede først DCHSpy i juli 2024. Værktøjet tilskrives MuddyWater, en statsstøttet iransk hackergruppe, der opererer under forskellige aliaser, herunder Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (tidligere Mercury), Seedworm, Static Kitten, TA450 og Yellow Nix.
Tidlige versioner af DCHSpy blev identificeret rettet mod engelsk- og farsitalende via Telegram-kanaler med kritiske temaer over for det iranske regime. Angriberne fokuserede primært på dissidenter, journalister og aktivister ved at lokke dem med tilsyneladende troværdige VPN-tjenester.
DCHSpys tekniske muligheder
DCHSpy er en modulær trojaner designet til at indsamle følsomme data fra inficerede enheder. Dens funktioner omfatter:
- Indsamling af WhatsApp-data, kontakter, SMS-beskeder og opkaldslogge
- Udpakning af konti, der er logget ind på enheden
- Adgang til filer og lokationsdata
- Optagelse af omgivende lyd og optagelse af billeder
Malwaren er også i stand til at opretholde vedvarende overvågning af offeret og effektivt omdanne den kompromitterede enhed til et spionværktøj.
Vildledende distributionstaktikker
De nyeste DCHSpy-varianter spredes under dække af populære VPN-tjenester, herunder:
- Jordens VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Skjul VPN (com.hv.hide_vpn)
Et bemærkelsesværdigt eksempel er Earth VPN-eksemplet, som blev fundet i omløb som en APK med navnet 'starlink_vpn(1.3.0)-3012 (1).apk', hvilket indikerer, at angribere bruger Starlink-relaterede temaer som lokkemidler.
Timingen er strategisk, da Starlinks internettjeneste blev lanceret i Iran i juni 2025 under en regeringspålagt internetafbrydelse. Tjenesten blev dog forbudt uger senere af det iranske parlament på grund af uautoriseret drift, hvilket gjorde den til et attraktivt lokkemiddel for målrettede individer, der søger ubegrænset internetforbindelse.
Forbindelser til tidligere kampagner
DCHSpy deler sin infrastruktur med SandStrike, en anden Android-spyware, der blev markeret i november 2022 for at målrette persisktalende via falske VPN-applikationer. Ligesom SandStrike distribueres DCHSpy ved hjælp af ondsindede URL'er, der deles direkte via beskedapps som Telegram.
Denne nye opdagelse føjer DCHSpy til en voksende liste af spywarekampagner rettet mod mål i Mellemøsten, som allerede inkluderer AridSpy, BouldSpy, GuardZoo, RatMilad og SpyNote.
Eskalering midt i regionale konflikter
DCHSpys genopblussen afspejler en løbende investering i spionageoperationer fra iranskstøttede aktører. Implementeringen er i overensstemmelse med Irans bestræbelser på at stramme kontrollen over information og overvåge dissidenter, især efter den nylige våbenhvile med Israel. Den fortsatte udvikling af sådan malware fremhæver den udviklende karakter af digitale trusler i regionen.
