DCHSpy 모바일 맬웨어

사이버 보안 연구원들이 최근 이란 정보보안부(MOIS)와 연관된 것으로 추정되는 새로운 안드로이드 스파이웨어를 발견했습니다. DCHSpy로 알려진 이 스파이웨어는 합법적인 VPN 서비스나 SpaceX가 운영하는 위성 인터넷 서비스인 Starlink로 위장하여 유포됩니다. 이 캠페인은 2025년 6월 이스라엘-이란 분쟁 이후 고조된 긴장과 맞물려 진행됩니다.

DCHSpy의 등장

연구원들은 2024년 7월에 처음으로 DCHSpy를 발견했습니다. 이 도구는 Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm(이전 Mercury), Seedworm, Static Kitten, TA450, Yellow Nix 등 다양한 가명으로 활동하는 이란의 국가 지원 해킹 그룹인 MuddyWater의 소행으로 추정됩니다.

DCHSpy의 초기 버전은 텔레그램 채널을 통해 영어와 페르시아어 사용자를 표적으로 삼았으며, 이란 정권에 대한 비판적인 내용을 담고 있었습니다. 공격자들은 주로 반체제 인사, 언론인, 그리고 활동가들을 대상으로 겉보기에 신뢰할 수 있는 VPN 서비스로 유인했습니다.

DCHSpy의 기술적 역량

DCHSpy는 감염된 기기에서 민감한 데이터를 수집하도록 설계된 모듈식 트로이 목마입니다. 다음과 같은 기능을 제공합니다.

• WhatsApp 데이터, 연락처, SMS 메시지 및 통화 기록 수집
• 기기에 로그인한 계정 추출
• 파일 및 위치 데이터 액세스
• 주변 소리 녹음 및 사진 촬영

이 맬웨어는 피해자를 지속적으로 감시할 수도 있으며, 손상된 장치를 효과적으로 스파이 도구로 변형시킬 수 있습니다.

기만적인 유통 전략

최신 DCHSpy 변종은 다음을 포함한 인기 있는 VPN 서비스를 가장하여 확산되고 있습니다.

• 어스 VPN(com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• VPN 숨기기(com.hv.hide_vpn)

주목할 만한 예로 Earth VPN 샘플이 'starlink_vpn(1.3.0)-3012 (1).apk'라는 이름의 APK로 유포되고 있는 것이 발견되었는데, 이는 공격자가 Starlink 관련 테마를 미끼로 사용하고 있음을 나타냅니다.

스타링크의 인터넷 서비스는 2025년 6월 이란 정부의 인터넷 차단 조치로 인해 이란에서 출시되었으므로, 이는 전략적 타이밍이었습니다. 그러나 몇 주 후 이란 의회는 무단 운영을 이유로 서비스를 금지했고, 이로 인해 무제한 연결을 원하는 표적 개인들에게 매력적인 미끼가 되었습니다.

이전 캠페인과의 연결

DCHSpy는 2022년 11월 가짜 VPN 애플리케이션을 통해 페르시아어 사용자를 표적으로 삼은 것으로 알려진 또 다른 안드로이드 스파이웨어인 SandStrike와 인프라를 공유합니다. SandStrike와 마찬가지로 DCHSpy는 Telegram과 같은 메시징 앱을 통해 직접 공유되는 악성 URL을 통해 배포됩니다.

이번 새로운 발견으로 DCHSpy는 중동 지역을 타깃으로 하는 스파이웨어 캠페인 목록에 추가되었는데, 이 목록에는 이미 AridSpy, BouldSpy, GuardZoo, RatMilad, SpyNote가 포함되어 있습니다.

지역 갈등 속 에스컬레이션

DCHSpy의 부활은 이란의 지원을 받는 세력들이 첩보 활동에 지속적으로 투자하고 있음을 보여줍니다. DCHSpy의 배치는 특히 최근 이스라엘과의 휴전 이후 정보 통제를 강화하고 반체제 인사를 감시하려는 이란의 노력과 일맥상통합니다. 이러한 악성코드의 지속적인 개발은 이 지역의 디지털 위협이 진화하는 양상을 보여줍니다.