Mobilný malvér DCHSpy
Výskumníci v oblasti kybernetickej bezpečnosti nedávno odhalili novú vlnu artefaktov špionážneho softvéru pre systém Android, o ktorom sa predpokladá, že súvisí s iránskym ministerstvom spravodajských služieb a bezpečnosti (MOIS). Špionážny softvér, známy ako DCHSpy, sa distribuuje maskovaním sa za legitímne služby VPN a dokonca aj za Starlink, satelitnú internetovú službu prevádzkovanú spoločnosťou SpaceX. Táto kampaň sa zhoduje so zvýšeným napätím po izraelsko-iránskom konflikte v júni 2025.
Obsah
Vznik DCHSpy
Výskumníci prvýkrát objavili DCHSpy v júli 2024. Nástroj sa pripisuje MuddyWater, štátom podporovanej iránskej hackerskej skupine, ktorá funguje pod rôznymi prezývkami vrátane Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (predtým Mercury), Seedworm, Static Kitten, TA450 a Yellow Nix.
Bolo identifikované, že skoré verzie vírusu DCHSpy boli zamerané na anglicky a perzsky hovoriacich ľudí prostredníctvom telegramových kanálov a používali témy kritické voči iránskemu režimu. Útočníci sa zameriavali predovšetkým na disidentov, novinárov a aktivistov tým, že ich lákali zdanlivo dôveryhodnými službami VPN.
Technické možnosti DCHSpy
DCHSpy je modulárny trójsky kôň určený na zhromažďovanie citlivých údajov z infikovaných zariadení. Jeho schopnosti zahŕňajú:
- Zhromažďovanie údajov, kontaktov, SMS správ a záznamov hovorov z WhatsAppu
- Extrahovanie účtov prihlásených do zariadenia
- Prístup k súborom a údajom o polohe
- Nahrávanie okolitého zvuku a fotografovanie
Malvér je tiež schopný udržiavať trvalý dohľad nad obeťou, čím efektívne premení napadnuté zariadenie na špionážny nástroj.
Klamlivé distribučné taktiky
Najnovšie varianty DCHSpy sa šíria pod rúškom populárnych VPN služieb, vrátane:
- VPN pre Zem (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Skryť VPN (com.hv.hide_vpn)
Pozoruhodným príkladom je vzorka Earth VPN, ktorá sa objavila v obehu ako APK s názvom „starlink_vpn(1.3.0)-3012 (1).apk“, čo naznačuje, že útočníci používajú témy súvisiace so Starlinkom ako návnady.
Načasovanie je strategické, keďže internetová služba Starlink bola v Iráne spustená v júni 2025 počas vládou nariadeného výpadku internetu. Iránsky parlament však službu o niekoľko týždňov neskôr zakázal kvôli neoprávneným operáciám, čo z nej urobilo atraktívnu návnadu pre cielených jednotlivcov hľadajúcich neobmedzené pripojenie.
Prepojenia s predchádzajúcimi kampaňami
DCHSpy zdieľa svoju infraštruktúru so SandStrike, ďalším špionážnym softvérom pre Android, ktorý bol v novembri 2022 označený za zacielenie na perzsky hovoriacich prostredníctvom falošných VPN aplikácií. Podobne ako SandStrike, aj DCHSpy sa šíri pomocou škodlivých URL adries zdieľaných priamo cez aplikácie na zasielanie správ, ako je Telegram.
Tento nový objav pridáva DCHSpy k rastúcemu zoznamu spyware kampaní zameraných na ciele na Blízkom východe, ktorý už zahŕňa AridSpy, BouldSpy, GuardZoo, RatMilad a SpyNote.
Eskalácia uprostred regionálnych konfliktov
Obnova škodlivého softvéru DCHSpy odráža pokračujúce investície do špionážnych operácií zo strany aktérov podporovaných Iránom. Jeho nasadenie je v súlade s iránskym úsilím o sprísnenie kontroly nad informáciami a monitorovanie disidentov, najmä po nedávnom prímerí s Izraelom. Neustály vývoj takéhoto škodlivého softvéru zdôrazňuje vyvíjajúcu sa povahu digitálnych hrozieb v regióne.
