DCHSpy mobil kártevő
Kiberbiztonsági kutatók nemrégiben egy új hullámnyi Android kémprogramot fedeztek fel, amelyekről úgy vélik, hogy az iráni Hírszerzési és Biztonsági Minisztériumhoz (MOIS) köthetőek. A DCHSpy néven ismert kémprogramot legitim VPN-szolgáltatásnak, sőt a SpaceX által üzemeltetett Starlink műholdas internetszolgáltatásnak álcázva terjesztik. Ez a kampány egybeesik a 2025 júniusi izraeli-iráni konfliktust követő fokozódó feszültségekkel.
Tartalomjegyzék
A DCHSpy megjelenése
A kutatók először 2024 júliusában észlelték a DCHSpy-t. Az eszközt a MuddyWaterhez, egy államilag támogatott iráni hackercsoporthoz kötik, amely különböző álnevek alatt működik, többek között a Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (korábban Mercury), Seedworm, Static Kitten, TA450 és Yellow Nix.
A DCHSpy korai verzióit azonosították, amelyek angol és perzsa nyelven beszélőket céloztak meg Telegram-csatornákon keresztül, az iráni rezsimet kritizáló témákat használva. A támadók elsősorban disszidensekre, újságírókra és aktivistákra koncentráltak, látszólag megbízható VPN-szolgáltatásokkal csábítva őket.
A DCHSpy technikai képességei
A DCHSpy egy moduláris trójai, amelyet arra terveztek, hogy érzékeny adatokat gyűjtsön a fertőzött eszközökről. Képességei többek között:
- WhatsApp adatok, névjegyek, SMS-üzenetek és hívásnaplók gyűjtése
- Az eszközre bejelentkezett fiókok kibontása
- Fájlok és helyadatok elérése
- Környezeti hangok rögzítése és fényképek készítése
A rosszindulatú program képes folyamatosan megfigyelni az áldozatot, gyakorlatilag kémeszközzé alakítva a feltört eszközt.
Megtévesztő terjesztési taktikák
A legújabb DCHSpy variánsokat népszerű VPN-szolgáltatások álcája alatt terjesztik, beleértve a következőket:
- Föld VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- VPN elrejtése (com.hv.hide_vpn)
Egy figyelemre méltó példa az Earth VPN minta, amely egy „starlink_vpn(1.3.0)-3012 (1).apk” nevű APK-ként kering, ami arra utal, hogy a támadók Starlinkhez kapcsolódó témákat használnak csaliként.
Az időzítés stratégiai fontosságú, mivel a Starlink internetszolgáltatása 2025 júniusában indult el Iránban egy kormány által elrendelt internetzárlat idején. A szolgáltatást azonban hetekkel később az iráni parlament betiltotta a jogosulatlan műveletek miatt, így vonzó csalivá vált a korlátlan internetkapcsolatot kereső célszemélyek számára.
Kapcsolatok korábbi kampányokkal
A DCHSpy megosztja infrastruktúráját a SandStrike-kal, egy másik Androidos kémprogrammal, amelyet 2022 novemberében jelentettek be, mert hamis VPN-alkalmazásokon keresztül perzsa anyanyelvűeket célzott meg. A SandStrike-hoz hasonlóan a DCHSpy is rosszindulatú URL-ek segítségével terjed, amelyeket közvetlenül üzenetküldő alkalmazásokon, például a Telegramon keresztül osztanak meg.
Ez az új felfedezés a DCHSpy-t is hozzáadja a közel-keleti célpontokat célzó kémprogram-kampányok egyre bővülő listájához, amelyen már szerepel az AridSpy, a BouldSpy, a GuardZoo, a RatMilad és a SpyNote.
Eszkaláció a regionális konfliktusok közepette
A DCHSpy újjáéledése az iráni támogatású szereplők kémkedésbe történő folyamatos befektetését tükrözi. Telepítése összhangban van Irán azon erőfeszítéseivel, hogy szigorítsa az információk feletti ellenőrzést és megfigyelje a disszidenseket, különösen az Izraellel kötött közelmúltbeli tűzszünetet követően. Az ilyen rosszindulatú programok folyamatos fejlesztése rávilágít a régió digitális fenyegetéseinek változó természetére.
