DCHSpy — мобильное вредоносное ПО
Исследователи кибербезопасности недавно обнаружили новую волну шпионского ПО для Android, предположительно связанного с Министерством разведки и безопасности Ирана (MOIS). Шпионское ПО, известное как DCHSpy, распространяется, маскируясь под легитимные VPN-сервисы и даже под Starlink, спутниковый интернет-сервис компании SpaceX. Эта кампания совпала с обострением напряжённости после израильско-иранского конфликта в июне 2025 года.
Оглавление
Появление DCHSpy
Исследователи впервые обнаружили DCHSpy в июле 2024 года. Инструмент приписывается MuddyWater — поддерживаемой государством иранской хакерской группе, которая действует под различными псевдонимами, включая Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ранее Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.
Ранние версии DCHSpy были замечены в атаках на англоговорящих и фарси-пользователей в Telegram-каналах, используя темы, критикующие иранский режим. Злоумышленники в основном ориентировались на диссидентов, журналистов и активистов, заманивая их, казалось бы, надёжными VPN-сервисами.
Технические возможности DCHSpy
DCHSpy — это модульный троян, предназначенный для сбора конфиденциальных данных с зараженных устройств. Его возможности включают:
- Сбор данных WhatsApp, контактов, SMS-сообщений и журналов вызовов
- Извлечение учетных записей, зарегистрированных на устройстве
- Доступ к файлам и данным о местоположении
- Запись окружающего звука и фотосъемка
Вредоносное ПО также способно осуществлять постоянное наблюдение за жертвой, фактически превращая взломанное устройство в инструмент шпионажа.
Обманные тактики распространения
Новейшие варианты DCHSpy распространяются под видом популярных VPN-сервисов, среди которых:
- Earth VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Скрыть VPN (com.hv.hide_vpn)
Ярким примером является образец Earth VPN, который был обнаружен в виде APK-файла с названием «starlink_vpn(1.3.0)-3012 (1).apk», что указывает на то, что злоумышленники используют темы, связанные со Starlink, в качестве приманки.
Время выбрано стратегически, поскольку интернет-сервис Starlink был запущен в Иране в июне 2025 года во время правительственного отключения интернета. Однако спустя несколько недель иранский парламент запретил сервис из-за несанкционированной деятельности, что сделало его привлекательной приманкой для лиц, ищущих неограниченного доступа к интернету.
Связи с предыдущими кампаниями
DCHSpy использует ту же инфраструктуру, что и SandStrike, ещё одно шпионское ПО для Android, которое в ноябре 2022 года было отмечено как атакующее персидских носителей через поддельные VPN-приложения. Как и SandStrike, DCHSpy распространяется через вредоносные URL-адреса, распространяемые непосредственно через мессенджеры, такие как Telegram.
Это новое открытие добавляет DCHSpy в растущий список кампаний шпионского ПО, нацеленных на цели на Ближнем Востоке, в который уже входят AridSpy, BouldSpy, GuardZoo, RatMilad и SpyNote.
Эскалация региональных конфликтов
Возрождение DCHSpy отражает продолжающиеся инвестиции в шпионскую деятельность со стороны поддерживаемых Ираном структур. Его внедрение согласуется с усилиями Ирана по ужесточению контроля над информацией и слежке за диссидентами, особенно после недавнего перемирия с Израилем. Постоянное развитие подобного вредоносного ПО подчёркивает меняющийся характер цифровых угроз в регионе.
