DCHSpy mobili kenkėjiška programa
Kibernetinio saugumo tyrėjai neseniai atskleidė naują „Android“ šnipinėjimo programų artefaktų bangą, manoma, susijusią su Irano žvalgybos ir saugumo ministerija (MOIS). Šnipinėjimo programa, žinoma kaip DCHSpy, platinama prisidengiant teisėtomis VPN paslaugomis ir netgi „Starlink“ – „SpaceX“ valdoma palydovinio interneto paslauga. Ši kampanija sutampa su padidėjusia įtampa po Izraelio ir Irano konflikto 2025 m. birželį.
Turinys
DCHSpy atsiradimas
Tyrėjai pirmą kartą aptiko DCHSpy 2024 m. liepą. Įrankis priskiriamas „MuddyWater“ – valstybės remiamai Irano įsilaužėlių grupei, veikiančiai įvairiais slapyvardžiais, įskaitant „Boggy Serpens“, „Cobalt Ulster“, „Earth Vetala“, ITG17, „Mango Sandstorm“ (anksčiau „Mercury“), „Seedworm“, „Static Kitten“, TA450 ir „Yellow Nix“.
Ankstyvosios DCHSpy versijos buvo identifikuotos kaip nukreiptos į angliškai ir persiškai kalbančius asmenis per „Telegram“ kanalus, naudojant Irano režimą kritikuojančias temas. Užpuolikai daugiausia dėmesio skyrė disidentams, žurnalistams ir aktyvistams, viliodami juos iš pažiūros patikimomis VPN paslaugomis.
DCHSpy techninės galimybės
„DCHSpy“ yra modulinis Trojos arklys, skirtas rinkti jautrius duomenis iš užkrėstų įrenginių. Jo galimybės apima:
- „WhatsApp“ duomenų, kontaktų, SMS žinučių ir skambučių žurnalų rinkimas
- Ištraukiamos įrenginyje prisijungtos paskyros
- Prieiga prie failų ir vietos duomenų
- Aplinkos garso įrašymas ir nuotraukų darymas
Kenkėjiška programa taip pat gali nuolat stebėti auką, efektyviai paversdama pažeistą įrenginį šnipinėjimo įrankiu.
Apgaulinga platinimo taktika
Naujausi „DCHSpy“ variantai platinami prisidengiant populiariomis VPN paslaugomis, įskaitant:
- Žemės VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Slėpti VPN (com.hv.hide_vpn)
Žymus pavyzdys yra „Earth VPN“ pavyzdys, kuris buvo rastas cirkuliuojantis kaip APK failas pavadinimu „starlink_vpn(1.3.0)-3012 (1).apk“, rodantis, kad užpuolikai naudoja su „Starlink“ susijusias temas kaip masalą.
Laikas pasirinktas strategiškai, nes „Starlink“ interneto paslauga Irane buvo paleista 2025 m. birželį, vyriausybės įvesto interneto ryšio nutraukimo metu. Tačiau po kelių savaičių Irano parlamentas šią paslaugą uždraudė dėl neleistinų operacijų, todėl ji tapo patraukliu masalu tiksliniams asmenims, siekiantiems neriboto interneto ryšio.
Ryšiai su ankstesnėmis kampanijomis
„DCHSpy“ dalijasi savo infrastruktūra su „SandStrike“ – kita „Android“ šnipinėjimo programa, kuri 2022 m. lapkritį buvo pažymėta kaip nukreipta į persų kalba kalbančius asmenis per netikras VPN programas. Kaip ir „SandStrike“, „DCHSpy“ platinama naudojant kenkėjiškus URL, tiesiogiai bendrinamus per pranešimų siuntimo programas, tokias kaip „Telegram“.
Šis naujas atradimas įtraukia „DCHSpy“ į augantį šnipinėjimo programų kampanijų, nukreiptų į Artimųjų Rytų taikinius, sąrašą, kuriame jau yra „AridSpy“, „BouldSpy“, „GuardZoo“, „RatMilad“ ir „SpyNote“.
Eskalacija regioninių konfliktų metu
„DCHSpy“ atgimimas atspindi nuolatines Irano remiamų veikėjų investicijas į šnipinėjimo operacijas. Jos diegimas atitinka Irano pastangas griežtinti informacijos kontrolę ir stebėti disidentus, ypač po neseniai sudarytų paliaubų su Izraeliu. Nuolatinis tokių kenkėjiškų programų kūrimas pabrėžia kintantį skaitmeninių grėsmių pobūdį regione.
