Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Malware móvel DCHSpy

Malware móvel DCHSpy

Por Mezo em Malware móvel, Spyware
Traduzir Para:

Pesquisadores de segurança cibernética descobriram recentemente uma nova onda de artefatos de spyware para Android, que se acredita estarem vinculados ao Ministério de Inteligência e Segurança do Irã (MOIS). O spyware, conhecido como DCHSpy, é distribuído disfarçando-se de serviços VPN legítimos e até mesmo de Starlink, o serviço de internet via satélite operado pela SpaceX. Esta campanha coincide com o aumento das tensões após o conflito entre Israel e o Irã em junho de 2025.

O surgimento do DCHSpy

Os pesquisadores detectaram o DCHSpy pela primeira vez em julho de 2024. A ferramenta é atribuída ao MuddyWater, um grupo de hackers iraniano apoiado pelo estado que opera sob vários pseudônimos, incluindo Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (antigo Mercury), Seedworm, Static Kitten, TA450 e Yellow Nix.

As primeiras versões do DCHSpy foram identificadas tendo como alvo falantes de inglês e farsi por meio de canais do Telegram, utilizando temas críticos ao regime iraniano. Os invasores focavam principalmente em dissidentes, jornalistas e ativistas, atraindo-os com serviços de VPN aparentemente confiáveis.

Capacidades técnicas do DCHSpy

DCHSpy é um trojan modular projetado para coletar dados confidenciais de dispositivos infectados. Seus recursos incluem:

  • Coletando dados do WhatsApp, contatos, mensagens SMS e registros de chamadas
  • Extraindo contas conectadas ao dispositivo
  • Acessando arquivos e dados de localização
  • Gravação de áudio ambiente e captura de fotos

O malware também é capaz de manter vigilância persistente na vítima, transformando efetivamente o dispositivo comprometido em uma ferramenta de espionagem.

Táticas de distribuição enganosas

As variantes mais recentes do DCHSpy estão sendo disseminadas sob o disfarce de serviços VPN populares, incluindo:

  • Earth VPN (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Ocultar VPN (com.hv.hide_vpn)

Um exemplo notável é a amostra do Earth VPN, que foi encontrada circulando como um APK chamado 'starlink_vpn(1.3.0)-3012 (1).apk', indicando que os invasores estão usando temas relacionados ao Starlink como iscas.

O momento é estratégico, visto que o serviço de internet da Starlink foi lançado no Irã em junho de 2025, durante um apagão imposto pelo governo. No entanto, o serviço foi proibido semanas depois pelo parlamento iraniano devido a operações não autorizadas, tornando-se um atrativo para indivíduos que buscam conectividade irrestrita.

Conexões com campanhas anteriores

O DCHSpy compartilha sua infraestrutura com o SandStrike, outro spyware para Android sinalizado em novembro de 2022 por ter como alvo falantes de persa por meio de aplicativos VPN falsos. Assim como o SandStrike, o DCHSpy é distribuído por meio de URLs maliciosos compartilhados diretamente em aplicativos de mensagens como o Telegram.

Esta nova descoberta adiciona o DCHSpy a uma lista crescente de campanhas de spyware direcionadas a alvos do Oriente Médio, que já inclui AridSpy, BouldSpy, GuardZoo, RatMilad e SpyNote.

Escalada em meio a conflitos regionais

O ressurgimento do DCHSpy reflete um investimento contínuo em operações de espionagem por agentes apoiados pelo Irã. Sua implantação se alinha aos esforços do Irã para reforçar o controle sobre informações e monitorar dissidentes, especialmente após o recente cessar-fogo com Israel. O desenvolvimento contínuo desse malware destaca a natureza evolutiva das ameaças digitais na região.

Tendendo

Mais visto

Carregando...