Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Zlonamjerni softver za mobilne uređaje DCHSpy

Zlonamjerni softver za mobilne uređaje DCHSpy

Do Mezo. Mobilni malware, Špijunski softver. godine
Prevedi na:

Istraživači kibernetičke sigurnosti nedavno su otkrili novi val artefakata špijunskog softvera za Android, za koji se vjeruje da je povezan s iranskim Ministarstvom obavještajnih službi i sigurnosti (MOIS). Špijunski softver, poznat kao DCHSpy, distribuira se prikrivanjem kao legitimne VPN usluge, pa čak i kao Starlink, satelitska internetska usluga kojom upravlja SpaceX. Ova kampanja podudara se s pojačanim napetostima nakon izraelsko-iranskog sukoba u lipnju 2025.

Pojava DCHSpy-a

Istraživači su prvi put otkrili DCHSpy u srpnju 2024. Alat se pripisuje MuddyWateru, iranskoj hakerskoj skupini koju podržava država, a koja djeluje pod raznim pseudonimima, uključujući Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (prije poznat kao Mercury), Seedworm, Static Kitten, TA450 i Yellow Nix.

Rane verzije DCHSpy-a identificirane su kao ciljane na govornike engleskog i farsija putem Telegram kanala, koristeći teme koje kritiziraju iranski režim. Napadači su se prvenstveno usredotočili na disidente, novinare i aktiviste mameći ih naizgled pouzdanim VPN uslugama.

Tehničke mogućnosti DCHSpy-a

DCHSpy je modularni trojanac dizajniran za prikupljanje osjetljivih podataka sa zaraženih uređaja. Njegove mogućnosti uključuju:

  • Prikupljanje podataka, kontakata, SMS poruka i zapisa poziva s WhatsAppa
  • Izdvajanje računa prijavljenih na uređaj
  • Pristup datotekama i podacima o lokaciji
  • Snimanje ambijentalnog zvuka i snimanje fotografija

Zlonamjerni softver je također sposoban održavati stalan nadzor nad žrtvom, učinkovito pretvarajući kompromitirani uređaj u alat za špijuniranje.

Taktike obmanjujuće distribucije

Najnovije varijante DCHSpy-a šire se pod krinkom popularnih VPN usluga, uključujući:

  • VPN za Zemlju (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Sakrij VPN (com.hv.hide_vpn)

Značajan primjer je uzorak Earth VPN-a, koji je pronađen u optjecaju kao APK pod nazivom 'starlink_vpn(1.3.0)-3012 (1).apk', što ukazuje na to da napadači koriste teme povezane sa Starlinkom kao mamce.

Tajming je strateški odabran, budući da je Starlinkova internetska usluga pokrenuta u Iranu u lipnju 2025. tijekom vladinog prekida interneta. Međutim, iranski parlament je uslugu zabranio nekoliko tjedana kasnije zbog neovlaštenih operacija, što ju je učinilo privlačnom mamcem za ciljane pojedince koji traže neograničenu povezivost.

Veze s prethodnim kampanjama

DCHSpy dijeli svoju infrastrukturu sa SandStrikeom, još jednim Android špijunskim softverom označenim u studenom 2022. zbog ciljanja perzijskih govornika putem lažnih VPN aplikacija. Poput SandStrikea, DCHSpy se distribuira putem zlonamjernih URL-ova koji se dijele izravno putem aplikacija za razmjenu poruka poput Telegrama.

Ovo novo otkriće dodaje DCHSpy na rastući popis špijunskih kampanja usmjerenih na bliskoistočne mete, koji već uključuje AridSpy, BouldSpy, GuardZoo, RatMilad i SpyNote.

Eskalacija usred regionalnih sukoba

Ponovno pojavljivanje DCHSpy-ja odražava kontinuirano ulaganje u špijunske operacije od strane aktera koje podržava Iran. Njegovo raspoređivanje usklađeno je s iranskim naporima da pojača kontrolu nad informacijama i prati disidenata, posebno nakon nedavnog primirja s Izraelom. Kontinuirani razvoj takvog zlonamjernog softvera naglašava promjenjivu prirodu digitalnih prijetnji u regiji.

U trendu

Nagledanije

Učitavam...