DCHSpy-mobiilihaittaohjelma
Kyberturvallisuustutkijat ovat äskettäin paljastaneet uuden aallon Android-vakoiluohjelmien artefakteja, joiden uskotaan liittyvän Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). DCHSpy-niminen vakoiluohjelma leviää naamioimalla itsensä laillisiksi VPN-palveluiksi ja jopa Starlinkiksi, SpaceX:n ylläpitämäksi satelliitti-internet-palveluksi. Tämä kampanja osuu yksiin Israelin ja Iranin välisen konfliktin jälkeisten kiristyneiden jännitteiden kanssa kesäkuussa 2025.
Sisällysluettelo
DCHSpyn synty
Tutkijat havaitsivat DCHSpy:n ensimmäisen kerran heinäkuussa 2024. Työkalun on sanottu kuuluvan MuddyWaterille, iranilaiselle valtion tukemalle hakkeriryhmälle, joka toimii useilla salanimillä, kuten Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (entinen Mercury), Seedworm, Static Kitten, TA450 ja Yellow Nix.
DCHSpy-hyökkäyksen varhaiset versiot tunnistettiin kohdistamaan hyökkäyksiään englannin- ja farsinkielisiin Telegram-kanavien kautta käyttäen Iranin hallintoa kritisoivia teemoja. Hyökkääjät keskittyivät pääasiassa toisinajattelijoihin, toimittajiin ja aktivisteihin houkuttelemalla heitä näennäisen luotettavilla VPN-palveluilla.
DCHSpyn tekniset ominaisuudet
DCHSpy on modulaarinen troijalainen, joka on suunniteltu keräämään arkaluonteisia tietoja tartunnan saaneista laitteista. Sen ominaisuuksiin kuuluvat:
- WhatsApp-tietojen, yhteystietojen, tekstiviestien ja puhelulokien kerääminen
- Laitteeseen kirjautuneiden tilien purkaminen
- Tiedostojen ja sijaintitietojen käyttö
- Ympäristöäänen tallentaminen ja valokuvien ottaminen
Haittaohjelma pystyy myös jatkuvasti valvomaan uhria, muuttamalla vaarantuneen laitteen tehokkaasti vakoilutyökaluksi.
Harhaanjohtavat jakelutaktiikat
Uusimpia DCHSpy-variantteja levitetään suosittujen VPN-palveluiden varjolla, mukaan lukien:
- Maan VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Piilota VPN (com.hv.hide_vpn)
Merkittävä esimerkki on Earth VPN -näyte, joka löytyi leviävänä APK-tiedostona nimeltä 'starlink_vpn(1.3.0)-3012 (1).apk'. Tämä viittaa siihen, että hyökkääjät käyttävät Starlinkiin liittyviä teemoja houkuttimina.
Ajoitus on strateginen, sillä Starlinkin internet-palvelu lanseerattiin Iranissa kesäkuussa 2025 hallituksen määräämän internet-katkon aikana. Palvelu kuitenkin kielsi Iranin parlamentti viikkoja myöhemmin luvattoman toiminnan vuoksi, mikä teki siitä houkuttelevan houkuttimen kohderyhmille, jotka etsivät rajoittamatonta internetyhteyttä.
Yhteydet aiempiin kampanjoihin
DCHSpy jakaa infrastruktuurinsa SandStriken kanssa, joka on toinen Android-vakoiluohjelma, jonka marraskuussa 2022 ilmoitettiin kohdistuneen persiankielisiin väärennettyjen VPN-sovellusten kautta. Kuten SandStrike, DCHSpy leviää haitallisten URL-osoitteiden avulla, joita jaetaan suoraan viestisovelluksissa, kuten Telegramissa.
Tämä uusi löytö lisää DCHSpy:n kasvavaan Lähi-idän kohteisiin kohdistuvien vakoiluohjelmakampanjoiden luetteloon, johon kuuluvat jo AridSpy, BouldSpy, GuardZoo, RatMilad ja SpyNote.
Eskaloituminen alueellisten konfliktien keskellä
DCHSpy:n paluu heijastaa Iranin tukemien toimijoiden jatkuvaa panostusta vakoiluoperaatioihin. Sen käyttöönotto on linjassa Iranin pyrkimysten kanssa tiukentaa tiedon hallintaa ja seurata toisinajattelijoita, erityisesti Israelin kanssa äskettäisen tulitauon jälkeen. Tällaisten haittaohjelmien jatkuva kehitys korostaa digitaalisten uhkien kehittyvää luonnetta alueella.
