Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Malware-ul mobil DCHSpy

Malware-ul mobil DCHSpy

Până în Mezo în Malware mobil, Spyware
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit recent un nou val de artefacte spyware pentru Android, despre care se crede că ar fi legate de Ministerul Informațiilor și Securității din Iran (MOIS). Spyware-ul, cunoscut sub numele de DCHSpy, este distribuit deghizându-se în servicii VPN legitime și chiar sub numele de Starlink, serviciul de internet prin satelit operat de SpaceX. Această campanie coincide cu tensiunile crescute care au urmat conflictului israelo-iranian din iunie 2025.

Apariția DCHSpy

Cercetătorii au detectat pentru prima dată DCHSpy în iulie 2024. Instrumentul este atribuit MuddyWater, un grup de hackeri iranian susținut de stat, care operează sub diverse pseudonime, inclusiv Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (fostul Mercury), Seedworm, Static Kitten, TA450 și Yellow Nix.

Versiuni timpurii ale DCHSpy au fost identificate ca vizând vorbitori de limba engleză și persană prin canalele Telegram, folosind teme critice la adresa regimului iranian. Atacatorii s-au concentrat în principal pe disidenți, jurnaliști și activiști, atrăgându-i cu servicii VPN aparent de încredere.

Capacități tehnice ale DCHSpy

DCHSpy este un troian modular conceput pentru a colecta date sensibile de pe dispozitivele infectate. Capacitățile sale includ:

  • Colectarea datelor WhatsApp, a contactelor, a mesajelor SMS și a jurnalelor de apeluri
  • Extragerea conturilor conectate la dispozitiv
  • Accesarea fișierelor și a datelor de locație
  • Înregistrarea sunetului ambiental și realizarea fotografiilor

Malware-ul este, de asemenea, capabil să mențină o supraveghere persistentă asupra victimei, transformând efectiv dispozitivul compromis într-un instrument de spionaj.

Tactici de distribuție înșelătoare

Cele mai recente variante DCHSpy sunt răspândite sub masca unor servicii VPN populare, inclusiv:

  • VPN Earth (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Ascunde VPN-ul (com.hv.hide_vpn)

Un exemplu notabil este eșantionul VPN Earth, care a fost găsit circulând ca un APK numit „starlink_vpn(1.3.0)-3012 (1).apk”, indicând faptul că atacatorii folosesc teme legate de Starlink ca momeli.

Momentul este strategic, deoarece serviciul de internet Starlink a fost lansat în Iran în iunie 2025, în timpul unei întreruperi a internetului impuse de guvern. Cu toate acestea, serviciul a fost scos în afara legii câteva săptămâni mai târziu de parlamentul iranian din cauza operațiunilor neautorizate, ceea ce îl face o atracție pentru persoanele vizate care caută conectivitate nerestricționată.

Conexiuni cu campaniile anterioare

DCHSpy își împarte infrastructura cu SandStrike, un alt program spion pentru Android semnalat în noiembrie 2022 că vizează vorbitorii de persană prin intermediul unor aplicații VPN false. La fel ca SandStrike, DCHSpy este distribuit folosind adrese URL rău intenționate partajate direct prin aplicații de mesagerie precum Telegram.

Această nouă descoperire adaugă DCHSpy la o listă tot mai mare de campanii de spyware care vizează ținte din Orientul Mijlociu, care include deja AridSpy, BouldSpy, GuardZoo, RatMilad și SpyNote.

Escaladarea pe fondul conflictelor regionale

Renașterea DCHSpy reflectă o investiție continuă în operațiuni de spionaj ale actorilor susținuți de Iran. Implementarea sa se aliniază cu eforturile Iranului de a consolida controlul asupra informațiilor și de a monitoriza disidenții, în special în urma recentului armistițiu cu Israelul. Dezvoltarea continuă a unor astfel de programe malware evidențiază natura evolutivă a amenințărilor digitale din regiune.

Trending

Cele mai văzute

Se încarcă...