Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Malware mobile DCHSpy

Malware mobile DCHSpy

Entro Mezo nel Malware per dispositivi mobili, Spia
Traduci in:

I ricercatori di sicurezza informatica hanno recentemente scoperto una nuova ondata di spyware per Android, che si ritiene siano collegati al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Lo spyware, noto come DCHSpy, viene distribuito camuffandosi da servizi VPN legittimi e persino da Starlink, il servizio internet satellitare gestito da SpaceX. Questa campagna coincide con l'acuirsi delle tensioni seguite al conflitto tra Israele e Iran del giugno 2025.

L’emergere di DCHSpy

I ricercatori hanno rilevato DCHSpy per la prima volta nel luglio 2024. Lo strumento è attribuito a MuddyWater, un gruppo di hacker iraniano sostenuto dallo stato che opera sotto vari alias, tra cui Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ex Mercury), Seedworm, Static Kitten, TA450 e Yellow Nix.

Le prime versioni di DCHSpy sono state identificate come mirate a utenti di lingua inglese e persiana attraverso i canali Telegram, utilizzando temi critici nei confronti del regime iraniano. Gli aggressori si concentravano principalmente su dissidenti, giornalisti e attivisti, attirandoli con servizi VPN apparentemente affidabili.

Capacità tecniche di DCHSpy

DCHSpy è un trojan modulare progettato per raccogliere dati sensibili dai dispositivi infetti. Le sue funzionalità includono:

  • Raccolta di dati WhatsApp, contatti, messaggi SMS e registri delle chiamate
  • Estrazione degli account registrati sul dispositivo
  • Accesso ai file e ai dati sulla posizione
  • Registrazione dell'audio ambientale e acquisizione di foto

Il malware è anche in grado di mantenere una sorveglianza persistente sulla vittima, trasformando di fatto il dispositivo compromesso in uno strumento di spionaggio.

Tattiche di distribuzione ingannevoli

Le ultime varianti di DCHSpy vengono diffuse sotto le mentite spoglie di noti servizi VPN, tra cui:

  • VPN terrestre (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Nascondi VPN (com.hv.hide_vpn)

Un esempio degno di nota è il campione Earth VPN, trovato in circolazione come APK denominato 'starlink_vpn(1.3.0)-3012 (1).apk', a indicare che gli aggressori utilizzano temi correlati a Starlink come esche.

Il tempismo è strategico, poiché il servizio internet di Starlink è stato lanciato in Iran nel giugno 2025, durante un blackout imposto dal governo. Tuttavia, il servizio è stato dichiarato illegale poche settimane dopo dal parlamento iraniano a causa di operazioni non autorizzate, rendendolo un'esca allettante per individui presi di mira in cerca di connettività senza restrizioni.

Collegamenti alle campagne precedenti

DCHSpy condivide la sua infrastruttura con SandStrike, un altro spyware Android segnalato a novembre 2022 per aver preso di mira utenti di lingua persiana tramite false applicazioni VPN. Come SandStrike, DCHSpy viene distribuito tramite URL dannosi condivisi direttamente su app di messaggistica come Telegram.

Questa nuova scoperta aggiunge DCHSpy a un elenco crescente di campagne spyware mirate a obiettivi mediorientali, che comprende già AridSpy, BouldSpy, GuardZoo, RatMilad e SpyNote.

Escalation nei conflitti regionali

La rinascita di DCHSpy riflette un investimento continuo in operazioni di spionaggio da parte di attori sostenuti dall'Iran. Il suo impiego è in linea con gli sforzi dell'Iran per rafforzare il controllo sulle informazioni e monitorare i dissidenti, soprattutto a seguito del recente cessate il fuoco con Israele. Il continuo sviluppo di questo malware evidenzia la natura in continua evoluzione delle minacce digitali nella regione.

Tendenza

I più visti

Caricamento in corso...