DCHSpy mobil skadelig programvare
Forskere innen nettsikkerhet har nylig avdekket en ny bølge av Android-spionprogrammer, som antas å være knyttet til det iranske departementet for etterretning og sikkerhet (MOIS). Spionprogrammet, kjent som DCHSpy, distribueres ved å kamuflere seg som legitime VPN-tjenester og til og med som Starlink, satellitt-internetttjenesten som drives av SpaceX. Denne kampanjen sammenfaller med de økte spenningene etter Israel-Iran-konflikten i juni 2025.
Innholdsfortegnelse
Fremveksten av DCHSpy
Forskere oppdaget DCHSpy først i juli 2024. Verktøyet tilskrives MuddyWater, en statsstøttet iransk hackergruppe som opererer under forskjellige alias, inkludert Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (tidligere Mercury), Seedworm, Static Kitten, TA450 og Yellow Nix.
Tidlige versjoner av DCHSpy ble identifisert som målrettet mot engelsk- og farsitalende via Telegram-kanaler, med temaer som var kritiske til det iranske regimet. Angriperne fokuserte primært på dissidenter, journalister og aktivister ved å lokke dem med tilsynelatende pålitelige VPN-tjenester.
Tekniske funksjoner hos DCHSpy
DCHSpy er en modulær trojaner som er utviklet for å samle sensitive data fra infiserte enheter. Funksjonene inkluderer:
- Innsamling av WhatsApp-data, kontakter, SMS-meldinger og samtalelogger
- Uttrekker kontoer som er logget på enheten
- Tilgang til filer og posisjonsdata
- Opptak av omgivelseslyd og opptak av bilder
Skadevaren er også i stand til å opprettholde vedvarende overvåking av offeret, og effektivt forvandle den kompromitterte enheten til et spionverktøy.
Villedende distribusjonstaktikker
De nyeste DCHSpy-variantene spres under dekke av populære VPN-tjenester, inkludert:
- Jordens VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Skjul VPN (com.hv.hide_vpn)
Et bemerkelsesverdig eksempel er Earth VPN-eksemplet, som ble funnet sirkulerende som en APK med navnet 'starlink_vpn(1.3.0)-3012 (1).apk', noe som indikerer at angripere bruker Starlink-relaterte temaer som lokkemidler.
Timingen er strategisk, ettersom Starlinks internettjeneste ble lansert i Iran i juni 2025 under en regjeringspålagt internett-blackout. Tjenesten ble imidlertid forbudt uker senere av det iranske parlamentet på grunn av uautorisert drift, noe som gjorde den til et attraktivt lokkemiddel for målrettede individer som søker ubegrenset internettforbindelse.
Koblinger til tidligere kampanjer
DCHSpy deler infrastrukturen sin med SandStrike, et annet Android-spionprogram som ble flagget i november 2022 for å målrette persisktalende via falske VPN-applikasjoner. I likhet med SandStrike distribueres DCHSpy ved hjelp av ondsinnede URL-er som deles direkte via meldingsapper som Telegram.
Denne nye oppdagelsen føyer DCHSpy til en voksende liste over spionprogramkampanjer rettet mot mål i Midtøsten, som allerede inkluderer AridSpy, BouldSpy, GuardZoo, RatMilad og SpyNote.
Eskalering midt i regionale konflikter
Gjenoppblomstringen av DCHSpy gjenspeiler en kontinuerlig investering i spionasjeoperasjoner fra iranskstøttede aktører. Utplasseringen er i tråd med Irans innsats for å stramme inn kontrollen over informasjon og overvåke dissidenter, spesielt etter den nylige våpenhvilen med Israel. Den kontinuerlige utviklingen av slik skadelig programvare fremhever den utviklende naturen til digitale trusler i regionen.
