DCHSpy मोबाइल मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने हाल ही में एंड्रॉइड स्पाइवेयर कलाकृतियों की एक नई लहर का खुलासा किया है, जिसके ईरानी खुफिया और सुरक्षा मंत्रालय (MOIS) से जुड़े होने का अनुमान है। DCHSpy नामक यह स्पाइवेयर वैध VPN सेवाओं और यहाँ तक कि स्पेसएक्स द्वारा संचालित सैटेलाइट इंटरनेट सेवा, स्टारलिंक के रूप में भी छद्म रूप में वितरित किया जाता है। यह अभियान जून 2025 में इज़राइल-ईरान संघर्ष के बाद बढ़े तनाव के समय में चलाया जा रहा है।

DCHSpy का उदय

शोधकर्ताओं ने पहली बार जुलाई 2024 में DCHSpy का पता लगाया था। इस उपकरण का श्रेय मड्डीवाटर को दिया जाता है, जो एक राज्य समर्थित ईरानी हैकिंग समूह है जो विभिन्न उपनामों के तहत काम करता है, जिसमें बोगी सर्पेंस, कोबाल्ट उल्स्टर, अर्थ वेताला, आईटीजी 17, मैंगो सैंडस्टॉर्म (पूर्व में मर्करी), सीडवर्म, स्टैटिक किटन, टीए 450 और येलो निक्स शामिल हैं।

DCHSpy के शुरुआती संस्करणों की पहचान टेलीग्राम चैनलों के ज़रिए अंग्रेज़ी और फ़ारसी भाषियों को निशाना बनाने के लिए की गई थी, जिसमें ईरानी शासन की आलोचना करने वाले विषयों का इस्तेमाल किया जाता था। हमलावर मुख्य रूप से असंतुष्टों, पत्रकारों और कार्यकर्ताओं को भरोसेमंद वीपीएन सेवाओं का लालच देकर निशाना बनाते थे।

DCHSpy की तकनीकी क्षमताएँ

DCHSpy एक मॉड्यूलर ट्रोजन है जिसे संक्रमित उपकरणों से संवेदनशील डेटा प्राप्त करने के लिए डिज़ाइन किया गया है। इसकी क्षमताएँ इस प्रकार हैं:

• व्हाट्सएप डेटा, संपर्क, एसएमएस संदेश और कॉल लॉग एकत्र करना
• डिवाइस में साइन इन किए गए खातों को निकालना
• फ़ाइलों और स्थान डेटा तक पहुँचना
• परिवेशी ऑडियो रिकॉर्ड करना और फ़ोटो कैप्चर करना

मैलवेयर पीड़ित पर लगातार निगरानी बनाए रखने में भी सक्षम है, तथा प्रभावित डिवाइस को प्रभावी रूप से जासूसी उपकरण में बदल देता है।

भ्रामक वितरण रणनीतियाँ

नवीनतम DCHSpy वेरिएंट लोकप्रिय VPN सेवाओं की आड़ में फैलाए जा रहे हैं, जिनमें शामिल हैं:

• अर्थ वीपीएन (com.earth.earth_vpn)
• कोमोडो वीपीएन (com.comodoapp.comodovpn)
• वीपीएन छिपाएँ (com.hv.hide_vpn)

एक उल्लेखनीय उदाहरण अर्थ वीपीएन नमूना है, जो 'starlink_vpn(1.3.0)-3012 (1).apk' नामक एपीके के रूप में प्रसारित पाया गया, जो दर्शाता है कि हमलावर स्टारलिंक से संबंधित थीम का उपयोग लालच के रूप में कर रहे हैं।

यह समय रणनीतिक है, क्योंकि स्टारलिंक की इंटरनेट सेवा ईरान में जून 2025 में सरकार द्वारा लगाए गए इंटरनेट ब्लैकआउट के दौरान शुरू की गई थी। हालाँकि, कुछ हफ़्तों बाद ही ईरानी संसद ने अनधिकृत संचालन के कारण इस सेवा पर प्रतिबंध लगा दिया, जिससे यह अप्रतिबंधित कनेक्टिविटी चाहने वाले लक्षित लोगों के लिए एक आकर्षक आकर्षण बन गई।

पिछले अभियानों से संबंध

DCHSpy अपना बुनियादी ढांचा SandStrike के साथ साझा करता है, जो नवंबर 2022 में नकली VPN एप्लिकेशन के ज़रिए फ़ारसी भाषियों को निशाना बनाने के लिए चिह्नित किया गया एक और एंड्रॉइड स्पाइवेयर है। SandStrike की तरह, DCHSpy को टेलीग्राम जैसे मैसेजिंग ऐप्स पर सीधे साझा किए गए दुर्भावनापूर्ण URL का उपयोग करके वितरित किया जाता है।

यह नई खोज मध्य पूर्वी लक्ष्यों पर लक्षित स्पाइवेयर अभियानों की बढ़ती सूची में DCHSpy को शामिल करती है, जिसमें पहले से ही AridSpy, BouldSpy, GuardZoo, RatMilad और SpyNote शामिल हैं।

क्षेत्रीय संघर्षों के बीच वृद्धि

DCHSpy का फिर से उभरना ईरान समर्थित तत्वों द्वारा जासूसी अभियानों में निरंतर निवेश को दर्शाता है। इसकी तैनाती, विशेष रूप से इज़राइल के साथ हाल ही में हुए युद्धविराम के बाद, सूचना पर नियंत्रण कड़ा करने और असंतुष्टों पर नज़र रखने के ईरान के प्रयासों के अनुरूप है। इस तरह के मैलवेयर का निरंतर विकास इस क्षेत्र में डिजिटल खतरों की बढ़ती प्रकृति को उजागर करता है।