Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie DCHSpy Mobile Malware

DCHSpy Mobile Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Oprogramowanie szpiegujące
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli niedawno nową falę artefaktów oprogramowania szpiegującego dla systemu Android, prawdopodobnie powiązanych z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Oprogramowanie szpiegujące, znane jako DCHSpy, jest dystrybuowane podszywając się pod legalne usługi VPN, a nawet pod Starlink, satelitarną usługę internetową obsługiwaną przez SpaceX. Kampania ta zbiega się z zaostrzeniem napięć po konflikcie izraelsko-irańskim w czerwcu 2025 roku.

Powstanie DCHSpy

Naukowcy po raz pierwszy wykryli DCHSpy w lipcu 2024 roku. Narzędzie to przypisuje się MuddyWater, wspieranej przez państwo irańskiej grupie hakerskiej, działającej pod różnymi pseudonimami, w tym Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (dawniej Mercury), Seedworm, Static Kitten, TA450 i Yellow Nix.

Wczesne wersje DCHSpy zostały zidentyfikowane jako atakujące osoby posługujące się językiem angielskim i perskim za pośrednictwem kanałów Telegram, wykorzystujące tematy krytyczne wobec reżimu irańskiego. Atakujący koncentrowali się głównie na dysydentach, dziennikarzach i aktywistach, wabiąc ich za pomocą pozornie godnych zaufania usług VPN.

Możliwości techniczne DCHSpy

DCHSpy to modułowy trojan zaprojektowany do zbierania poufnych danych z zainfekowanych urządzeń. Jego możliwości obejmują:

  • Zbieranie danych WhatsApp, kontaktów, wiadomości SMS i rejestrów połączeń
  • Wyodrębnianie kont zalogowanych do urządzenia
  • Dostęp do plików i danych o lokalizacji
  • Nagrywanie dźwięku otoczenia i robienie zdjęć

Szkodliwe oprogramowanie potrafi również stale śledzić ofiarę i skutecznie przekształcać zainfekowane urządzenie w narzędzie szpiegujące.

Oszukańcze taktyki dystrybucyjne

Najnowsze warianty DCHSpy rozprzestrzeniają się pod przykrywką popularnych usług VPN, w tym:

  • Earth VPN (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Ukryj VPN (com.hv.hide_vpn)

Dobrym przykładem jest próbka Earth VPN, która krążyła jako plik APK o nazwie „starlink_vpn(1.3.0)-3012 (1).apk”, co wskazuje, że atakujący wykorzystują motywy związane ze Starlink jako przynętę.

Wybór momentu jest strategiczny, ponieważ usługa internetowa Starlink została uruchomiona w Iranie w czerwcu 2025 roku podczas przerwy w dostawie internetu narzuconej przez rząd. Jednak kilka tygodni później irański parlament zdelegalizował usługę z powodu nieautoryzowanych operacji, co uczyniło ją atrakcyjną przynętą dla osób poszukujących nieograniczonego dostępu do internetu.

Połączenia z poprzednimi kampaniami

DCHSpy dzieli swoją infrastrukturę z SandStrike, innym oprogramowaniem szpiegującym na Androida, które zostało wykryte w listopadzie 2022 roku w związku z atakami na osoby mówiące po persku za pośrednictwem fałszywych aplikacji VPN. Podobnie jak SandStrike, DCHSpy jest dystrybuowany za pośrednictwem złośliwych adresów URL udostępnianych bezpośrednio w komunikatorach, takich jak Telegram.

To nowe odkrycie dołącza do rosnącej listy kampanii szpiegowskich ukierunkowanych na cele na Bliskim Wschodzie, na której znajdują się już AridSpy, BouldSpy, GuardZoo, RatMilad i SpyNote.

Eskalacja w obliczu konfliktów regionalnych

Odrodzenie się DCHSpy odzwierciedla ciągłe inwestycje w operacje szpiegowskie prowadzone przez podmioty wspierane przez Iran. Jego wdrożenie wpisuje się w działania Iranu zmierzające do zacieśnienia kontroli nad informacjami i monitorowania dysydentów, zwłaszcza po niedawnym zawieszeniu broni z Izraelem. Ciągły rozwój tego złośliwego oprogramowania uwydatnia ewoluujący charakter zagrożeń cyfrowych w regionie.

Popularne

Najczęściej oglądane

Ładowanie...