DCHSpy mobilo ierīču ļaunprogrammatūra

Kiberdrošības pētnieki nesen ir atklājuši jaunu Android spiegprogrammatūras artefaktu vilni, kas, domājams, ir saistīts ar Irānas Izlūkošanas un drošības ministriju (MOIS). Spiegprogrammatūra, kas pazīstama kā DCHSpy, tiek izplatīta, maskējoties par likumīgiem VPN pakalpojumiem un pat kā Starlink — SpaceX pārvaldīto satelīta interneta pakalpojumu. Šī kampaņa sakrīt ar paaugstināto spriedzi pēc Izraēlas un Irānas konflikta 2025. gada jūnijā.

DCHSpy parādīšanās

Pētnieki pirmo reizi atklāja DCHSpy 2024. gada jūlijā. Rīks tiek attiecināts uz MuddyWater, valsts atbalstītu Irānas hakeru grupu, kas darbojas ar dažādiem pseidonīmiem, tostarp Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (agrāk Mercury), Seedworm, Static Kitten, TA450 un Yellow Nix.

Tika identificētas agrīnās DCHSpy versijas, kas bija vērstas pret angļu un persiešu valodas runātājiem, izmantojot Telegram kanālus, izmantojot tēmas, kas kritizēja Irānas režīmu. Uzbrucēji galvenokārt koncentrējās uz disidentiem, žurnālistiem un aktīvistiem, pievilinot viņus ar šķietami uzticamiem VPN pakalpojumiem.

DCHSpy tehniskās iespējas

DCHSpy ir modulārs Trojas zirgs, kas paredzēts sensitīvu datu ievākšanai no inficētām ierīcēm. Tā iespējas ietver:

• WhatsApp datu, kontaktu, īsziņu un zvanu žurnālu vākšana
• Ierīcē pierakstīto kontu izvilkšana
• Piekļuve failiem un atrašanās vietas datiem
• Apkārtējās skaņas ierakstīšana un fotoattēlu uzņemšana

Ļaunprogrammatūra spēj arī pastāvīgi uzraudzīt upuri, efektīvi pārveidojot apdraudēto ierīci par spiegošanas rīku.

Maldinoša izplatīšanas taktika

Jaunākie DCHSpy varianti tiek izplatīti populāru VPN pakalpojumu aizsegā, tostarp:

• Zemes VPN (com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• Slēpt VPN (com.hv.hide_vpn)

Ievērojams piemērs ir Earth VPN paraugs, kas tika atrasts cirkulācijā kā APK fails ar nosaukumu “starlink_vpn(1.3.0)-3012 (1).apk”, norādot, ka uzbrucēji kā ēsmu izmanto ar Starlink saistītas tēmas.

Laiks ir stratēģiski labs, jo Starlink interneta pakalpojums Irānā tika palaists 2025. gada jūnijā valdības noteiktā interneta pārtraukuma laikā. Tomēr dažas nedēļas vēlāk Irānas parlaments pakalpojumu aizliedza neatļautu darbību dēļ, padarot to par pievilcīgu ēsmu mērķauditorijai, kas meklē neierobežotu savienojumu.

Saistība ar iepriekšējām kampaņām

DCHSpy koplieto savu infrastruktūru ar SandStrike — vēl vienu Android spiegprogrammatūru, kas 2022. gada novembrī tika atzīmēta par persiešu valodas runātāju mērķauditorijas atlasi, izmantojot viltotas VPN lietotnes. Tāpat kā SandStrike, DCHSpy tiek izplatīts, izmantojot ļaunprātīgus URL, kas tiek tieši kopīgoti ziņojumapmaiņas lietotnēs, piemēram, Telegram.

Šis jaunais atklājums pievieno DCHSpy pieaugošajam spiegprogrammatūru kampaņu sarakstam, kas vērsts pret Tuvo Austrumu mērķiem, kurā jau ir iekļauti AridSpy, BouldSpy, GuardZoo, RatMilad un SpyNote.

Eskalācija reģionālo konfliktu laikā

DCHSpy atdzimšana atspoguļo Irānas atbalstīto dalībnieku pastāvīgās investīcijas spiegošanas operācijās. Tās ieviešana atbilst Irānas centieniem pastiprināt informācijas kontroli un uzraudzīt disidentus, īpaši pēc nesenās pamiera ar Izraēlu. Šādas ļaunprogrammatūras nepārtrauktā attīstība uzsver digitālo draudu mainīgo raksturu reģionā.