Κακόβουλο λογισμικό DCHSpy για κινητά
Ερευνητές κυβερνοασφάλειας αποκάλυψαν πρόσφατα ένα νέο κύμα αντικειμένων spyware για Android, που πιστεύεται ότι συνδέονται με το Ιρανικό Υπουργείο Πληροφοριών και Ασφάλειας (MOIS). Το spyware, γνωστό ως DCHSpy, διανέμεται μεταμφιεσμένο σε νόμιμες υπηρεσίες VPN, ακόμη και ως Starlink, την υπηρεσία δορυφορικού διαδικτύου που λειτουργεί η SpaceX. Αυτή η εκστρατεία συμπίπτει με τις αυξημένες εντάσεις μετά τη σύγκρουση Ισραήλ-Ιράν τον Ιούνιο του 2025.
Πίνακας περιεχομένων
Η εμφάνιση του DCHSpy
Οι ερευνητές εντόπισαν για πρώτη φορά το DCHSpy τον Ιούλιο του 2024. Το εργαλείο αποδίδεται στην MuddyWater, μια κρατικά υποστηριζόμενη ιρανική ομάδα χάκερ που λειτουργεί με διάφορα ψευδώνυμα, όπως οι Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (πρώην Mercury), Seedworm, Static Kitten, TA450 και Yellow Nix.
Πρώιμες εκδόσεις του DCHSpy εντοπίστηκαν να στοχεύουν άτομα που ομιλούν Αγγλικά και Φαρσί μέσω καναλιών Telegram, χρησιμοποιώντας θέματα επικριτικά για το ιρανικό καθεστώς. Οι επιτιθέμενοι επικεντρώνονταν κυρίως σε αντιφρονούντες, δημοσιογράφους και ακτιβιστές, δελεάζοντάς τους με φαινομενικά αξιόπιστες υπηρεσίες VPN.
Τεχνικές δυνατότητες του DCHSpy
Το DCHSpy είναι ένα αρθρωτό trojan που έχει σχεδιαστεί για να συλλέγει ευαίσθητα δεδομένα από μολυσμένες συσκευές. Οι δυνατότητές του περιλαμβάνουν:
- Συλλογή δεδομένων WhatsApp, επαφών, μηνυμάτων SMS και αρχείων καταγραφής κλήσεων
- Εξαγωγή λογαριασμών που είναι συνδεδεμένοι στη συσκευή
- Πρόσβαση σε αρχεία και δεδομένα τοποθεσίας
- Εγγραφή ήχου περιβάλλοντος και λήψη φωτογραφιών
Το κακόβουλο λογισμικό είναι επίσης ικανό να διατηρεί συνεχή επιτήρηση στο θύμα, μετατρέποντας αποτελεσματικά την παραβιασμένη συσκευή σε εργαλείο κατασκοπείας.
Παραπλανητικές τακτικές διανομής
Οι τελευταίες παραλλαγές του DCHSPy διαδίδονται με το πρόσχημα δημοφιλών υπηρεσιών VPN, όπως:
- VPN της Γης (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Απόκρυψη VPN (com.hv.hide_vpn)
Ένα αξιοσημείωτο παράδειγμα είναι το δείγμα του Earth VPN, το οποίο βρέθηκε να κυκλοφορεί ως APK με την ονομασία 'starlink_vpn(1.3.0)-3012 (1).apk', υποδεικνύοντας ότι οι εισβολείς χρησιμοποιούν θέματα που σχετίζονται με το Starlink ως δολώματα.
Η χρονική στιγμή είναι στρατηγική, καθώς η υπηρεσία διαδικτύου της Starlink ξεκίνησε στο Ιράν τον Ιούνιο του 2025 κατά τη διάρκεια μιας διακοπής διαδικτύου που επιβλήθηκε από την κυβέρνηση. Ωστόσο, η υπηρεσία τέθηκε εκτός νόμου εβδομάδες αργότερα από το ιρανικό κοινοβούλιο λόγω μη εξουσιοδοτημένων λειτουργιών, καθιστώντας την ελκυστικό δόλωμα για στοχευμένα άτομα που αναζητούν απεριόριστη συνδεσιμότητα.
Συνδέσεις με προηγούμενες καμπάνιες
Το DCHSpy μοιράζεται την υποδομή του με το SandStrike, ένα άλλο λογισμικό spyware για Android που επισημάνθηκε τον Νοέμβριο του 2022 για στόχευση ατόμων που ομιλούν την Περσία μέσω ψεύτικων εφαρμογών VPN. Όπως και το SandStrike, το DCHSpy διανέμεται χρησιμοποιώντας κακόβουλες διευθύνσεις URL που κοινοποιούνται απευθείας μέσω εφαρμογών ανταλλαγής μηνυμάτων όπως το Telegram.
Αυτή η νέα ανακάλυψη προσθέτει το DCHSpy σε μια αυξανόμενη λίστα καμπανιών spyware που στοχεύουν σε στόχους στη Μέση Ανατολή, η οποία ήδη περιλαμβάνει τις AridSpy, BouldSpy, GuardZo, RatMilad και SpyNote.
Κλιμάκωση εν μέσω περιφερειακών συγκρούσεων
Η αναβίωση του DCHSpy αντικατοπτρίζει μια συνεχιζόμενη επένδυση σε κατασκοπευτικές επιχειρήσεις από υποστηριζόμενους από το Ιράν φορείς. Η ανάπτυξή του ευθυγραμμίζεται με τις προσπάθειες του Ιράν να ενισχύσει τον έλεγχο των πληροφοριών και να παρακολουθεί τους αντιφρονούντες, ειδικά μετά την πρόσφατη εκεχειρία με το Ισραήλ. Η συνεχής ανάπτυξη τέτοιου κακόβουλου λογισμικού υπογραμμίζει την εξελισσόμενη φύση των ψηφιακών απειλών στην περιοχή.
