Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular DCHSpy Mobile Malware

DCHSpy Mobile Malware

Nga MezoMalware celular, Spyware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar së fundmi një valë të re objektesh spiune për Android, që besohet se janë të lidhura me Ministrinë iraniane të Inteligjencës dhe Sigurisë (MOIS). Sistemi spiun, i njohur si DCHSpy, shpërndahet duke u maskuar si shërbime legjitime VPN dhe madje edhe si Starlink, shërbimi i internetit satelitor i operuar nga SpaceX. Kjo fushatë përkon me tensionet e larta pas konfliktit Izrael-Iran në qershor 2025.

Shfaqja e DCHSpy

Studiuesit e zbuluan për herë të parë DCHSpy në korrik 2024. Mjeti i atribuohet MuddyWater, një grupi hakerash iranian të mbështetur nga shteti që vepron nën pseudonime të ndryshme, duke përfshirë Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (më parë Mercury), Seedworm, Static Kitten, TA450 dhe Yellow Nix.

Versionet e hershme të DCHSpy u identifikuan duke synuar folësit e anglishtes dhe persishtes përmes kanaleve të Telegramit, duke përdorur tema kritike ndaj regjimit iranian. Sulmuesit u përqendruan kryesisht te disidentët, gazetarët dhe aktivistët duke i joshur ata me shërbime VPN në dukje të besueshme.

Aftësitë Teknike të DCHSpy

DCHSpy është një trojan modular i projektuar për të mbledhur të dhëna të ndjeshme nga pajisjet e infektuara. Aftësitë e tij përfshijnë:

  • Mbledhja e të dhënave, kontakteve, mesazheve SMS dhe regjistrave të thirrjeve në WhatsApp
  • Duke nxjerrë llogaritë e identifikuara në pajisje
  • Qasja në skedarë dhe të dhëna vendndodhjeje
  • Regjistrimi i audios së ambientit dhe kapja e fotove

Malware është gjithashtu i aftë të mbajë mbikëqyrje të vazhdueshme mbi viktimën, duke e transformuar në mënyrë efektive pajisjen e kompromentuar në një mjet spiunazh.

Taktikat mashtruese të shpërndarjes

Variantet më të fundit të DCHSpy po përhapen nën maskën e shërbimeve të njohura VPN, duke përfshirë:

  • VPN-ja e Tokës (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Fshih VPN-në (com.hv.hide_vpn)

Një shembull i dukshëm është mostra e Earth VPN, e cila u gjet duke qarkulluar si një APK me emrin 'starlink_vpn(1.3.0)-3012 (1).apk', duke treguar se sulmuesit po përdorin tema të lidhura me Starlink si karrem.

Koha është strategjike, pasi shërbimi i internetit i Starlink u lançua në Iran në qershor 2025 gjatë një ndërprerjeje të internetit të imponuar nga qeveria. Megjithatë, shërbimi u ndalua me ligj disa javë më vonë nga parlamenti iranian për shkak të operacioneve të paautorizuara, duke e bërë atë një karrem tërheqës për individë të synuar që kërkojnë lidhje të pakufizuara.

Lidhjet me Fushatat e Mëparshme

DCHSpy ndan infrastrukturën e saj me SandStrike, një tjetër program spiun për Android i raportuar në nëntor 2022 për shënjestrimin e folësve persisht nëpërmjet aplikacioneve të rreme VPN. Ashtu si SandStrike, DCHSpy shpërndahet duke përdorur URL-të keqdashëse të ndara direkt nëpërmjet aplikacioneve të mesazheve si Telegram.

Ky zbulim i ri e shton DCHSpy në një listë në rritje të fushatave të spiunazhit që synojnë objektivat e Lindjes së Mesme, e cila tashmë përfshin AridSpy, BouldSpy, GuardZoo, RatMilad dhe SpyNote.

Përshkallëzimi mes konflikteve rajonale

Ringjallja e DCHSpy pasqyron një investim të vazhdueshëm në operacionet e spiunazhit nga aktorë të mbështetur nga Irani. Vendosja e tij përputhet me përpjekjet e Iranit për të forcuar kontrollin mbi informacionin dhe për të monitoruar disidentët, veçanërisht pas armëpushimit të fundit me Izraelin. Zhvillimi i vazhdueshëm i një programi të tillë keqdashës nxjerr në pah natyrën në zhvillim të kërcënimeve dixhitale në rajon.

Në trend

Më e shikuara

Po ngarkohet...