Zlonamerna programska oprema DCHSpy za mobilne naprave
Raziskovalci kibernetske varnosti so nedavno odkrili nov val artefaktov vohunske programske opreme za Android, za katere velja, da so povezani z iranskim ministrstvom za obveščevalne dejavnosti in varnost (MOIS). Vohunska programska oprema, znana kot DCHSpy, se distribuira tako, da se preobleče v legitimne storitve VPN in celo v Starlink, satelitsko internetno storitev, ki jo upravlja SpaceX. Ta kampanja sovpada z zaostrenimi napetostmi po izraelsko-iranskem konfliktu junija 2025.
Kazalo
Pojav DCHSpyja
Raziskovalci so DCHSpy prvič odkrili julija 2024. Orodje pripisujejo MuddyWater, iranski hekerski skupini, ki jo podpira država in deluje pod različnimi psevdonimi, vključno z Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (prej Mercury), Seedworm, Static Kitten, TA450 in Yellow Nix.
Zgodnje različice DCHSpy so bile identificirane kot ciljane na govorce angleščine in farsi prek Telegramovih kanalov, pri čemer so uporabljale teme, ki so kritizirale iranski režim. Napadalci so se osredotočali predvsem na disidente, novinarje in aktiviste, tako da so jih vabili z na videz zaupanja vrednimi storitvami VPN.
Tehnične zmogljivosti DCHSpy
DCHSpy je modularni trojanski konj, zasnovan za zbiranje občutljivih podatkov iz okuženih naprav. Njegove zmogljivosti vključujejo:
- Zbiranje podatkov WhatsApp, stikov, SMS sporočil in dnevnikov klicev
- Pridobivanje računov, prijavljenih v napravo
- Dostop do datotek in podatkov o lokaciji
- Snemanje zvoka iz okolice in fotografiranje
Zlonamerna programska oprema je sposobna tudi vzdrževati stalen nadzor nad žrtvijo in tako ogroženo napravo učinkovito spremeniti v orodje za vohunjenje.
Zavajajoče taktike distribucije
Najnovejše različice DCHSpy se širijo pod krinko priljubljenih storitev VPN, vključno z:
- Zemlja VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Skrij VPN (com.hv.hide_vpn)
Pomemben primer je vzorec Earth VPN, ki je bil najden v obtoku kot APK z imenom 'starlink_vpn(1.3.0)-3012 (1).apk', kar kaže na to, da napadalci uporabljajo teme, povezane s Starlinkom, kot vabe.
Čas je strateški, saj je bila internetna storitev Starlink v Iranu zagnana junija 2025 med vladno uvedbo internetnega izpada. Vendar pa je iranski parlament storitev nekaj tednov pozneje prepovedal zaradi nepooblaščenega delovanja, zaradi česar je postala privlačna vaba za ciljne posameznike, ki iščejo neomejeno povezljivost.
Povezave s prejšnjimi kampanjami
DCHSpy si deli infrastrukturo s SandStrikeom, še eno vohunsko programsko opremo za Android, ki je bila novembra 2022 označena zaradi ciljanja na perzijsko govoreče prek lažnih aplikacij VPN. Tako kot SandStrike se tudi DCHSpy distribuira z uporabo zlonamernih URL-jev, ki se delijo neposredno prek aplikacij za sporočanje, kot je Telegram.
To novo odkritje dodaja DCHSpy na rastoči seznam vohunskih kampanj, namenjenih tarčam na Bližnjem vzhodu, ki že vključuje AridSpy, BouldSpy, GuardZoo, RatMilad in SpyNote.
Eskalacija sredi regionalnih konfliktov
Ponovni vzpon DCHSpy odraža nenehne naložbe v vohunske operacije s strani akterjev, ki jih podpira Iran. Njegova uporaba je skladna z iranskimi prizadevanji za okrepitev nadzora nad informacijami in spremljanje disidentov, zlasti po nedavnem premirju z Izraelom. Nenehen razvoj takšne zlonamerne programske opreme poudarja razvijajočo se naravo digitalnih groženj v regiji.
