Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware DCHSpy mobiele malware

DCHSpy mobiele malware

Tegen Mezo in Mobiele malware, Spyware
Vertalen naar:

Cybersecurityonderzoekers hebben onlangs een nieuwe golf van Android-spyware ontdekt, waarvan wordt aangenomen dat deze verband houdt met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). De spyware, bekend als DCHSpy, wordt verspreid door zich voor te doen als legitieme VPN-diensten en zelfs als Starlink, de satellietinternetdienst van SpaceX. Deze campagne valt samen met de toegenomen spanningen na het Israëlisch-Iraanse conflict in juni 2025.

De opkomst van DCHSpy

Onderzoekers ontdekten DCHSpy voor het eerst in juli 2024. De tool wordt toegeschreven aan MuddyWater, een door de staat gesteunde Iraanse hackersgroep die opereert onder verschillende aliassen, waaronder Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (voorheen Mercury), Seedworm, Static Kitten, TA450 en Yellow Nix.

Vroege versies van DCHSpy werden geïdentificeerd als gericht op Engels- en Farsi-sprekers via Telegram-kanalen, met thema's die kritisch waren over het Iraanse regime. De aanvallers richtten zich voornamelijk op dissidenten, journalisten en activisten door hen te lokken met schijnbaar betrouwbare VPN-diensten.

Technische mogelijkheden van DCHSpy

DCHSpy is een modulaire trojan die is ontworpen om gevoelige gegevens van geïnfecteerde apparaten te verzamelen. De mogelijkheden omvatten:

  • WhatsApp-gegevens, contacten, sms-berichten en oproeplogboeken verzamelen
  • Accounts extraheren die op het apparaat zijn aangemeld
  • Toegang tot bestanden en locatiegegevens
  • Omgevingsgeluid opnemen en foto's maken

De malware kan bovendien voortdurend toezicht houden op het slachtoffer, waardoor het gecompromitteerde apparaat in feite wordt omgezet in een spionagetool.

Misleidende distributietactieken

De nieuwste DCHSpy-varianten worden verspreid onder de dekmantel van populaire VPN-diensten, waaronder:

  • Aarde VPN (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • VPN verbergen (com.hv.hide_vpn)

Een opvallend voorbeeld is het Earth VPN-voorbeeld, dat circuleerde als een APK met de naam 'starlink_vpn(1.3.0)-3012 (1).apk', wat erop wijst dat aanvallers Starlink-gerelateerde thema's als lokaas gebruiken.

De timing is strategisch, aangezien de internetdienst van Starlink in juni 2025 in Iran werd gelanceerd tijdens een door de overheid opgelegde internetstoring. De dienst werd echter weken later door het Iraanse parlement verboden vanwege ongeautoriseerde activiteiten, waardoor het een aantrekkelijk lokkertje is voor specifieke personen die op zoek zijn naar onbeperkte connectiviteit.

Verbindingen met eerdere campagnes

DCHSpy deelt zijn infrastructuur met SandStrike, een andere Android-spyware die in november 2022 werd aangemerkt voor het aanvallen van Perzisch-sprekenden via nep-VPN-apps. Net als SandStrike wordt DCHSpy verspreid via kwaadaardige URL's die rechtstreeks worden gedeeld via berichtenapps zoals Telegram.

Met deze nieuwe ontdekking voegt DCHSpy zich bij een groeiende lijst van spyware-campagnes die gericht zijn op doelwitten in het Midden-Oosten. Hiertoe behoren ook AridSpy, BouldSpy, GuardZoo, RatMilad en SpyNote.

Escalatie te midden van regionale conflicten

De heropleving van DCHSpy weerspiegelt de voortdurende investering in spionageoperaties door door Iran gesteunde actoren. De inzet ervan sluit aan bij de inspanningen van Iran om de controle over informatie te verscherpen en dissidenten te monitoren, met name na de recente wapenstilstand met Israël. De voortdurende ontwikkeling van dergelijke malware onderstreept de veranderende aard van digitale dreigingen in de regio.

Trending

Meest bekeken

Bezig met laden...