DCHSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਐਂਡਰਾਇਡ ਸਪਾਈਵੇਅਰ ਕਲਾਕ੍ਰਿਤੀਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਦਾ ਸਬੰਧ ਈਰਾਨੀ ਖੁਫੀਆ ਅਤੇ ਸੁਰੱਖਿਆ ਮੰਤਰਾਲੇ (MOIS) ਨਾਲ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। DCHSpy ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇਹ ਸਪਾਈਵੇਅਰ, ਆਪਣੇ ਆਪ ਨੂੰ ਜਾਇਜ਼ VPN ਸੇਵਾਵਾਂ ਅਤੇ ਸਪੇਸਐਕਸ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਸੈਟੇਲਾਈਟ ਇੰਟਰਨੈਟ ਸੇਵਾ, ਸਟਾਰਲਿੰਕ ਦੇ ਰੂਪ ਵਿੱਚ ਵੀ ਭੇਸ ਬਣਾ ਕੇ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਜੂਨ 2025 ਵਿੱਚ ਇਜ਼ਰਾਈਲ-ਈਰਾਨ ਟਕਰਾਅ ਤੋਂ ਬਾਅਦ ਵਧੇ ਤਣਾਅ ਦੇ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ।

DCHSpy ਦਾ ਉਭਾਰ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਜੁਲਾਈ 2024 ਵਿੱਚ DCHSpy ਦਾ ਪਤਾ ਲਗਾਇਆ। ਇਹ ਟੂਲ MuddyWater ਨੂੰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਰਾਜ-ਸਮਰਥਿਤ ਈਰਾਨੀ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜੋ ਬੋਗੀ ਸਰਪੇਂਸ, ਕੋਬਾਲਟ ਅਲਸਟਰ, ਅਰਥ ਵੇਟਾਲਾ, ITG17, ਮੈਂਗੋ ਸੈਂਡਸਟਾਰਮ (ਪਹਿਲਾਂ ਮਰਕਰੀ), ਸੀਡਵਰਮ, ਸਟੈਟਿਕ ਕਿਟਨ, TA450, ਅਤੇ ਯੈਲੋ ਨਿਕਸ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਹੇਠ ਕੰਮ ਕਰਦਾ ਹੈ।

DCHSpy ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਸਕਰਣਾਂ ਦੀ ਪਛਾਣ ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲਾਂ ਰਾਹੀਂ ਅੰਗਰੇਜ਼ੀ ਅਤੇ ਫਾਰਸੀ ਬੋਲਣ ਵਾਲਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਈਰਾਨੀ ਸ਼ਾਸਨ ਦੇ ਆਲੋਚਨਾਤਮਕ ਥੀਮ ਵਰਤੇ ਗਏ ਸਨ। ਹਮਲਾਵਰਾਂ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਅਸੰਤੁਸ਼ਟਾਂ, ਪੱਤਰਕਾਰਾਂ ਅਤੇ ਕਾਰਕੁਨਾਂ ਨੂੰ ਭਰੋਸੇਮੰਦ VPN ਸੇਵਾਵਾਂ ਨਾਲ ਲੁਭਾਇਆ ਸੀ।

DCHSpy ਦੀਆਂ ਤਕਨੀਕੀ ਸਮਰੱਥਾਵਾਂ

DCHSpy ਇੱਕ ਮਾਡਿਊਲਰ ਟ੍ਰੋਜਨ ਹੈ ਜੋ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• WhatsApp ਡਾਟਾ, ਸੰਪਰਕ, SMS ਸੁਨੇਹੇ ਅਤੇ ਕਾਲ ਲੌਗ ਇਕੱਠੇ ਕਰਨਾ
• ਡੀਵਾਈਸ ਵਿੱਚ ਸਾਈਨ ਕੀਤੇ ਖਾਤਿਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
• ਫਾਈਲਾਂ ਅਤੇ ਸਥਾਨ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਕਰਨਾ
• ਅੰਬੀਨਟ ਆਡੀਓ ਰਿਕਾਰਡ ਕਰਨਾ ਅਤੇ ਫੋਟੋਆਂ ਕੈਪਚਰ ਕਰਨਾ

ਇਹ ਮਾਲਵੇਅਰ ਪੀੜਤ 'ਤੇ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਰੱਖਣ ਦੇ ਵੀ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਜਾਸੂਸੀ ਟੂਲ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਧੋਖੇਬਾਜ਼ ਵੰਡ ਰਣਨੀਤੀਆਂ

ਨਵੀਨਤਮ DCHSpy ਰੂਪਾਂ ਨੂੰ ਪ੍ਰਸਿੱਧ VPN ਸੇਵਾਵਾਂ ਦੀ ਆੜ ਵਿੱਚ ਫੈਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਅਰਥ ਵੀਪੀਐਨ (com.earth.earth_vpn)
• ਕੋਮੋਡੋ VPN (com.comodoapp.comodovpn)
• VPN ਲੁਕਾਓ (com.hv.hide_vpn)

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਉਦਾਹਰਣ ਅਰਥ VPN ਸੈਂਪਲ ਹੈ, ਜੋ ਕਿ 'starlink_vpn(1.3.0)-3012 (1).apk' ਨਾਮਕ ਇੱਕ APK ਦੇ ਰੂਪ ਵਿੱਚ ਘੁੰਮਦਾ ਪਾਇਆ ਗਿਆ ਸੀ, ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਸਟਾਰਲਿੰਕ ਨਾਲ ਸਬੰਧਤ ਥੀਮਾਂ ਨੂੰ ਲਾਲਚ ਵਜੋਂ ਵਰਤ ਰਹੇ ਹਨ।

ਇਹ ਸਮਾਂ ਰਣਨੀਤਕ ਹੈ, ਕਿਉਂਕਿ ਸਟਾਰਲਿੰਕ ਦੀ ਇੰਟਰਨੈੱਟ ਸੇਵਾ ਈਰਾਨ ਵਿੱਚ ਜੂਨ 2025 ਵਿੱਚ ਸਰਕਾਰ ਦੁਆਰਾ ਲਗਾਏ ਗਏ ਇੰਟਰਨੈੱਟ ਬਲੈਕਆਊਟ ਦੌਰਾਨ ਸ਼ੁਰੂ ਕੀਤੀ ਗਈ ਸੀ। ਹਾਲਾਂਕਿ, ਇਸ ਸੇਵਾ ਨੂੰ ਹਫ਼ਤਿਆਂ ਬਾਅਦ ਈਰਾਨੀ ਸੰਸਦ ਦੁਆਰਾ ਅਣਅਧਿਕਾਰਤ ਕਾਰਜਾਂ ਦੇ ਕਾਰਨ ਗੈਰ-ਕਾਨੂੰਨੀ ਕਰਾਰ ਦੇ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਇਹ ਬੇਰੋਕ ਸੰਪਰਕ ਦੀ ਮੰਗ ਕਰਨ ਵਾਲੇ ਨਿਸ਼ਾਨਾ ਵਿਅਕਤੀਆਂ ਲਈ ਇੱਕ ਆਕਰਸ਼ਕ ਲਾਲਚ ਬਣ ਗਿਆ ਸੀ।

ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ

DCHSpy ਆਪਣਾ ਬੁਨਿਆਦੀ ਢਾਂਚਾ SandStrike ਨਾਲ ਸਾਂਝਾ ਕਰਦਾ ਹੈ, ਇੱਕ ਹੋਰ ਐਂਡਰਾਇਡ ਸਪਾਈਵੇਅਰ ਜਿਸਨੂੰ ਨਵੰਬਰ 2022 ਵਿੱਚ ਨਕਲੀ VPN ਐਪਲੀਕੇਸ਼ਨਾਂ ਰਾਹੀਂ ਫਾਰਸੀ ਬੋਲਣ ਵਾਲਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਫਲੈਗ ਕੀਤਾ ਗਿਆ ਸੀ। SandStrike ਵਾਂਗ, DCHSpy ਨੂੰ ਟੈਲੀਗ੍ਰਾਮ ਵਰਗੇ ਮੈਸੇਜਿੰਗ ਐਪਸ 'ਤੇ ਸਿੱਧੇ ਸਾਂਝੇ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ URL ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ।

ਇਹ ਨਵੀਂ ਖੋਜ DCHSpy ਨੂੰ ਮੱਧ ਪੂਰਬੀ ਟੀਚਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਪਾਈਵੇਅਰ ਮੁਹਿੰਮਾਂ ਦੀ ਵਧਦੀ ਸੂਚੀ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਪਹਿਲਾਂ ਹੀ AridSpy, BouldSpy, GuardZoo, RatMilad, ਅਤੇ SpyNote ਸ਼ਾਮਲ ਹਨ।

ਖੇਤਰੀ ਟਕਰਾਵਾਂ ਵਿਚਕਾਰ ਵਾਧਾ

DCHSpy ਦਾ ਪੁਨਰ-ਉਭਾਰ ਈਰਾਨ-ਸਮਰਥਿਤ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਵਿੱਚ ਚੱਲ ਰਹੇ ਨਿਵੇਸ਼ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸਦੀ ਤਾਇਨਾਤੀ ਈਰਾਨ ਦੇ ਜਾਣਕਾਰੀ 'ਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਅਤੇ ਵਿਰੋਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਦੇ ਯਤਨਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਇਜ਼ਰਾਈਲ ਨਾਲ ਹਾਲ ਹੀ ਵਿੱਚ ਹੋਈ ਜੰਗਬੰਦੀ ਤੋਂ ਬਾਅਦ। ਅਜਿਹੇ ਮਾਲਵੇਅਰ ਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ ਖੇਤਰ ਵਿੱਚ ਡਿਜੀਟਲ ਖਤਰਿਆਂ ਦੀ ਵਿਕਸਤ ਹੋ ਰਹੀ ਪ੍ਰਕਿਰਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।