قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل بدافزار موبایل DCHSpy

بدافزار موبایل DCHSpy

تا Mezo در بدافزار موبایل, نرم افزارهای جاسوسی
ترجمه به:

محققان امنیت سایبری اخیراً موج جدیدی از نرم‌افزارهای جاسوسی اندروید را کشف کرده‌اند که گمان می‌رود با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط باشند. این نرم‌افزار جاسوسی که با نام DCHSpy شناخته می‌شود، با پنهان کردن خود به عنوان سرویس‌های VPN قانونی و حتی به عنوان Starlink، سرویس اینترنت ماهواره‌ای که توسط SpaceX اداره می‌شود، توزیع می‌شود. این کمپین همزمان با افزایش تنش‌ها پس از درگیری اسرائیل و ایران در ژوئن 2025 است.

ظهور DCHSpy

محققان اولین بار DCHSpy را در ژوئیه ۲۰۲۴ شناسایی کردند. این ابزار به MuddyWater، یک گروه هکری ایرانی تحت حمایت دولت، نسبت داده می‌شود که تحت نام‌های مستعار مختلفی از جمله Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً Mercury نام داشت)، Seedworm، Static Kitten، TA450 و Yellow Nix فعالیت می‌کند.

نسخه‌های اولیه‌ی DCHSpy شناسایی شدند که از طریق کانال‌های تلگرام، انگلیسی‌زبانان و فارسی‌زبانان را هدف قرار می‌دادند و از مضامین انتقادی علیه رژیم ایران استفاده می‌کردند. مهاجمان عمدتاً با فریب دادن مخالفان، روزنامه‌نگاران و فعالان با سرویس‌های VPN به ظاهر قابل اعتماد، بر آنها تمرکز داشتند.

قابلیت‌های فنی DCHSpy

DCHSpy یک تروجان ماژولار است که برای جمع‌آوری داده‌های حساس از دستگاه‌های آلوده طراحی شده است. قابلیت‌های آن عبارتند از:

  • جمع‌آوری اطلاعات واتس‌اپ، مخاطبین، پیامک‌ها و گزارش تماس‌ها
  • استخراج حساب‌های کاربری وارد شده به دستگاه
  • دسترسی به فایل‌ها و داده‌های موقعیت مکانی
  • ضبط صدای محیط و گرفتن عکس

این بدافزار همچنین قادر است نظارت مداوم بر قربانی داشته باشد و دستگاه آسیب‌دیده را به یک ابزار جاسوسی تبدیل کند.

تاکتیک‌های توزیع فریبنده

جدیدترین گونه‌های DCHSpy تحت پوشش سرویس‌های VPN محبوب، از جمله موارد زیر، در حال انتشار هستند:

  • VPN زمین (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • مخفی کردن VPN (com.hv.hide_vpn)

یک نمونه قابل توجه، نمونه Earth VPN است که به عنوان یک فایل APK با نام 'starlink_vpn(1.3.0)-3012 (1).apk' در حال گردش بود، که نشان می‌دهد مهاجمان از تم‌های مرتبط با Starlink به عنوان طعمه استفاده می‌کنند.

این زمان‌بندی استراتژیک است، زیرا سرویس اینترنتی استارلینک در ژوئن ۲۰۲۵ در جریان قطعی اینترنت اعمال شده توسط دولت در ایران راه‌اندازی شد. با این حال، این سرویس چند هفته بعد توسط مجلس ایران به دلیل فعالیت‌های غیرمجاز غیرقانونی اعلام شد و به یک طعمه جذاب برای افراد هدفمندی تبدیل شد که به دنبال اتصال نامحدود هستند.

ارتباط با کمپین‌های قبلی

DCHSpy زیرساخت خود را با SandStrike، یکی دیگر از جاسوس‌افزارهای اندرویدی که در نوامبر ۲۰۲۲ به دلیل هدف قرار دادن فارسی‌زبانان از طریق برنامه‌های VPN جعلی شناسایی شد، به اشتراک می‌گذارد. DCHSpy مانند SandStrike، با استفاده از URLهای مخرب که مستقیماً از طریق برنامه‌های پیام‌رسان مانند تلگرام به اشتراک گذاشته می‌شوند، توزیع می‌شود.

این کشف جدید، DCHSpy را به فهرست رو به رشد کمپین‌های جاسوسی با هدف قرار دادن اهداف خاورمیانه اضافه می‌کند که پیش از این شامل AridSpy، BouldSpy، GuardZoo، RatMilad و SpyNote می‌شد.

تشدید تنش‌ها در بحبوحه درگیری‌های منطقه‌ای

ظهور مجدد DCHSpy نشان دهنده سرمایه‌گذاری مداوم در عملیات جاسوسی توسط عوامل تحت حمایت ایران است. استقرار آن با تلاش‌های ایران برای تشدید کنترل بر اطلاعات و نظارت بر مخالفان، به ویژه پس از آتش‌بس اخیر با اسرائیل، همسو است. توسعه مداوم چنین بدافزارهایی، ماهیت در حال تحول تهدیدات دیجیتال در منطقه را برجسته می‌کند.

پرطرفدار

Hophiles.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
وب‌سایت‌های فریبنده و مخرب بیش از هر زمان دیگری رایج شده‌اند. این صفحات جعلی اغلب محتوای قانونی را تقلید می‌کنند یا از تاکتیک‌های دستکاری‌شده برای فریب کاربران جهت کلیک، نصب یا عضویت در چیزی مضر...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,856
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...