DCHSpy मोबाइल मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले हालै एन्ड्रोइड स्पाइवेयर कलाकृतिहरूको नयाँ लहर पत्ता लगाएका छन्, जुन इरानी गुप्तचर तथा सुरक्षा मन्त्रालय (MOIS) सँग सम्बन्धित रहेको विश्वास गरिन्छ। DCHSpy भनेर चिनिने यो स्पाइवेयरले आफूलाई वैध VPN सेवाहरू र SpaceX द्वारा सञ्चालित उपग्रह इन्टरनेट सेवा Starlink को रूपमा पनि भेषमा वितरण गरिन्छ। यो अभियान जुन २०२५ मा इजरायल-इरान द्वन्द्व पछि बढेको तनावसँग मेल खान्छ।

DCHSpy को उदय

अनुसन्धानकर्ताहरूले पहिलो पटक जुलाई २०२४ मा DCHSpy पत्ता लगाएका थिए। यो उपकरण MuddyWater लाई श्रेय दिइएको छ, जुन राज्य-समर्थित इरानी ह्याकिङ समूह हो जसले बोगी सर्पेन्स, कोबाल्ट अल्स्टर, अर्थ भेटाला, ITG17, म्याङ्गो स्यान्डस्टर्म (पहिले मर्करी), सिडवर्म, स्ट्याटिक किटन, TA450, र येलो निक्स सहित विभिन्न उपनामहरू अन्तर्गत सञ्चालन गर्दछ।

DCHSpy को प्रारम्भिक संस्करणहरू टेलिग्राम च्यानलहरू मार्फत अंग्रेजी र फारसी भाषीहरूलाई लक्षित गर्दै पहिचान गरिएको थियो, जसमा इरानी शासनको आलोचनात्मक विषयवस्तुहरू प्रयोग गरिएको थियो। आक्रमणकारीहरूले मुख्यतया असन्तुष्ट, पत्रकार र कार्यकर्ताहरूलाई विश्वासयोग्य VPN सेवाहरूको प्रलोभन दिएर उनीहरूमाथि ध्यान केन्द्रित गरेका थिए।

DCHSpy को प्राविधिक क्षमताहरू

DCHSpy एक मोड्युलर ट्रोजन हो जुन संक्रमित उपकरणहरूबाट संवेदनशील डेटा सङ्कलन गर्न डिजाइन गरिएको हो। यसको क्षमताहरूमा समावेश छन्:

• व्हाट्सएप डेटा, सम्पर्कहरू, एसएमएस सन्देशहरू, र कल लगहरू सङ्कलन गर्दै
• यन्त्रमा साइन इन गरिएका खाताहरू निकाल्दै
• फाइलहरू र स्थान डेटा पहुँच गर्दै
• एम्बियन्ट अडियो रेकर्ड गर्दै र फोटो खिच्दै

यो मालवेयरले पीडितमाथि निरन्तर निगरानी राख्न पनि सक्षम छ, जसले गर्दा ह्याक भएको उपकरणलाई प्रभावकारी रूपमा जासुसी उपकरणमा रूपान्तरण गर्छ।

भ्रामक वितरण रणनीतिहरू

DCHSpy का पछिल्ला संस्करणहरू लोकप्रिय VPN सेवाहरूको आडमा फैलाइँदै छन्, जसमा समावेश छन्:

• अर्थ VPN (com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• VPN लुकाउनुहोस् (com.hv.hide_vpn)

एउटा उल्लेखनीय उदाहरण अर्थ VPN नमुना हो, जुन 'starlink_vpn(1.3.0)-3012 (1).apk' नामक APK को रूपमा परिचालित भएको पाइएको थियो, जसले आक्रमणकारीहरूले स्टारलिंक-सम्बन्धित विषयवस्तुहरू प्रलोभनको रूपमा प्रयोग गरिरहेको संकेत गर्दछ।

यो समय रणनीतिक छ, किनकि स्टारलिङ्कको इन्टरनेट सेवा जुन २०२५ मा सरकारले लगाएको इन्टरनेट ब्ल्याकआउटको समयमा इरानमा सुरु गरिएको थियो। यद्यपि, अनधिकृत सञ्चालनका कारण हप्ता पछि इरानी संसदले यो सेवालाई गैरकानूनी घोषित गर्‍यो, जसले गर्दा यो असीमित कनेक्टिभिटी खोज्ने लक्षित व्यक्तिहरूको लागि आकर्षक आकर्षण बन्यो।

अघिल्ला अभियानहरूसँगको सम्बन्ध

DCHSpy ले आफ्नो पूर्वाधार SandStrike सँग साझा गर्दछ, जुन अर्को एन्ड्रोइड स्पाइवेयर हो जसलाई नोभेम्बर २०२२ मा नक्कली VPN अनुप्रयोगहरू मार्फत फारसी भाषीहरूलाई लक्षित गरेको आरोप लगाइएको थियो। SandStrike जस्तै, DCHSpy टेलिग्राम जस्ता सन्देश अनुप्रयोगहरूमा सिधै साझा गरिएको दुर्भावनापूर्ण URL हरू प्रयोग गरेर वितरण गरिन्छ।

यो नयाँ खोजले मध्य पूर्वी लक्ष्यहरूलाई लक्षित स्पाइवेयर अभियानहरूको बढ्दो सूचीमा DCHSpy थप्छ, जसमा पहिले नै AridSpy, BouldSpy, GuardZoo, RatMilad, र SpyNote समावेश छन्।

क्षेत्रीय द्वन्द्वको बीचमा बढ्दो तनाव

DCHSpy को पुनरुत्थानले इरानी-समर्थित अभिनेताहरूद्वारा जासुसी कार्यहरूमा निरन्तर लगानीलाई प्रतिबिम्बित गर्दछ। यसको तैनाथी जानकारीमाथि नियन्त्रण कडा पार्ने र असन्तुष्टहरूको निगरानी गर्ने इरानको प्रयाससँग मिल्दोजुल्दो छ, विशेष गरी इजरायलसँग हालै भएको युद्धविराम पछि। यस्ता मालवेयरको निरन्तर विकासले क्षेत्रमा डिजिटल खतराहरूको विकसित प्रकृतिलाई हाइलाइट गर्दछ।