DCHSpy mobiilne pahavara
Küberjulgeoleku uurijad on hiljuti avastanud uue laine Androidi nuhkvara esemeid, mis arvatakse olevat seotud Iraani luure- ja julgeolekuministeeriumiga (MOIS). Nuhkvara, mida tuntakse nime all DCHSpy, levitatakse maskeerides end legitiimseteks VPN-teenusteks ja isegi Starlinkiks, mis on SpaceX-i hallatav satelliitinterneti teenus. See kampaania langeb kokku 2025. aasta juunis Iisraeli-Iraani konflikti järgselt suurenenud pingetega.
Sisukord
DCHSpy tekkimine
Teadlased avastasid DCHSpy esmakordselt 2024. aasta juulis. Tööriista omistatakse MuddyWaterile, mis on Iraani riiklikult toetatud häkkerirühmitus, mis tegutseb erinevate varjunimede all, sealhulgas Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (endine Mercury), Seedworm, Static Kitten, TA450 ja Yellow Nix.
DCHSpy varased versioonid tuvastati Telegrami kanalite kaudu sihikule võetavate rünnakute sihtmärgiks olid inglise ja farsi keele kõnelejad, kasutades Iraani režiimi kritiseerivaid teemasid. Ründajad keskendusid peamiselt dissidentidele, ajakirjanikele ja aktivistidele, meelitades neid pealtnäha usaldusväärsete VPN-teenustega.
DCHSpy tehnilised võimalused
DCHSpy on modulaarne trooja, mis on loodud nakatunud seadmetest tundlike andmete kogumiseks. Selle võimete hulka kuuluvad:
- WhatsAppi andmete, kontaktide, SMS-sõnumite ja kõnelogide kogumine
- Seadmesse sisselogitud kontode ekstraheerimine
- Failidele ja asukohaandmetele juurdepääs
- Ümbritseva heli salvestamine ja fotode jäädvustamine
Pahavara on võimeline ohvrit pidevalt jälgima, muutes ohustatud seadme sisuliselt spioonivahendiks.
Petlikud levitamistaktikad
Uusimaid DCHSpy variante levitatakse populaarsete VPN-teenuste varjus, sealhulgas:
- Maa VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Peida VPN (com.hv.hide_vpn)
Märkimisväärne näide on Earth VPN-i näidis, mis leiti levimas APK-na nimega 'starlink_vpn(1.3.0)-3012 (1).apk', mis viitab sellele, et ründajad kasutavad söötadena Starlinkiga seotud teemasid.
Ajastus on strateegiline, kuna Starlinki internetiteenus käivitati Iraanis 2025. aasta juunis valitsuse kehtestatud internetiühenduse katkestuse ajal. Kuid nädalaid hiljem keelas Iraani parlament teenuse loata tegevuse tõttu, muutes selle atraktiivseks sihtrühmale, kes otsivad piiramatut ühendust.
Seosed varasemate kampaaniatega
DCHSpy jagab oma infrastruktuuri SandStrike'iga, teise Androidi nuhkvaraga, mis märgistati 2022. aasta novembris pärsia keele kõnelejate sihtimise eest võltsitud VPN-rakenduste kaudu. Nagu SandStrike'i, levitatakse ka DCHSpy-d pahatahtlike URL-ide kaudu, mida jagatakse otse sõnumsiderakenduste, näiteks Telegrami kaudu.
See uus avastus lisab DCHSpy kasvavasse Lähis-Ida sihtmärkidele suunatud nuhkvarakampaaniate nimekirja, kuhu kuuluvad juba AridSpy, BouldSpy, GuardZoo, RatMilad ja SpyNote.
Eskaleerumine piirkondlike konfliktide keskel
DCHSpy taasilmumine peegeldab Iraani toetatud osaliste jätkuvaid investeeringuid spionaažioperatsioonidesse. Selle juurutamine on kooskõlas Iraani püüdlustega tugevdada kontrolli teabe üle ja jälgida teisitimõtlejaid, eriti pärast hiljutist relvarahu Iisraeliga. Sellise pahavara pidev arendamine rõhutab digitaalsete ohtude pidevalt muutuvat olemust piirkonnas.
