Мобилни злонамерни софтвер DCHSpy
Истраживачи сајбер безбедности недавно су открили нови талас артефаката шпијунског софтвера за Андроид, за које се верује да су повезани са иранским Министарством за обавештајне послове и безбедност (MOIS). Шпијунски софтвер, познат као DCHSpy, дистрибуира се маскирајући се у легитимне VPN сервисе, па чак и као Starlink, сателитски интернет сервис којим управља SpaceX. Ова кампања се поклапа са појачаним тензијама након израелско-иранског сукоба у јуну 2025. године.
Преглед садржаја
Појава DCHSpy-а
Истраживачи су први пут открили DCHSpy у јулу 2024. године. Алат се приписује MuddyWater-у, иранској хакерској групи коју подржава држава, а која делује под разним псеудонимима, укључујући Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (раније Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.
Ране верзије DCHSpy-ја су идентификоване као циљане на говорнике енглеског и фарси језика путем Телеграм канала, користећи теме које критикују ирански режим. Нападачи су се првенствено фокусирали на дисиденте, новинаре и активисте мамећи их наизглед поузданим VPN услугама.
Техничке могућности DCHSpy-ја
DCHSpy је модуларни тројански вирус дизајниран за прикупљање осетљивих података са заражених уређаја. Његове могућности укључују:
- Прикупљање података, контаката, СМС порука и евиденције позива са WhatsApp-а
- Издвајање налога пријављених на уређају
- Приступ датотекама и подацима о локацији
- Снимање амбијенталног звука и фотографисање
Злонамерни софтвер је такође способан да одржава стални надзор над жртвом, ефикасно трансформишући угрожени уређај у алат за шпијунирање.
Обмањујуће тактике дистрибуције
Најновије варијанте DCHSpy-ја се шире под маском популарних VPN сервиса, укључујући:
- Земљина VPN (com.earth.earth_vpn)
- Цомодо ВПН (цом.цомодоапп.цомодовпн)
- Сакриј VPN (com.hv.hide_vpn)
Значајан пример је пример Earth VPN-а, који је пронађен у циркулацији као APK под називом „starlink_vpn(1.3.0)-3012 (1).apk“, што указује да нападачи користе теме повезане са Starlink-ом као мамце.
Време је стратешки одређено, јер је интернет сервис компаније Старлинк покренут у Ирану у јуну 2025. године током прекида интернета који је наметнула влада. Међутим, ирански парламент је услугу забранио неколико недеља касније због неовлашћених операција, што ју је учинило примамљивом мамцем за појединце који траже неограничену повезаност.
Везе са претходним кампањама
DCHSpy дели своју инфраструктуру са SandStrike-ом, још једним шпијунским софтвером за Андроид који је у новембру 2022. године означен због циљања говорника персијског језика путем лажних VPN апликација. Као и SandStrike, DCHSpy се дистрибуира коришћењем злонамерних URL-ова који се деле директно преко апликација за размену порука као што је Telegram.
Ово ново откриће додаје DCHSpy на растућу листу шпијунских кампања усмерених ка циљевима на Блиском истоку, која већ укључује AridSpy, BouldSpy, GuardZoo, RatMilad и SpyNote.
Ескалација усред регионалних сукоба
Поновни успон DCHSpy-ја одражава континуирано улагање у шпијунске операције од стране актера које подржава Иран. Његово распоређивање је у складу са напорима Ирана да пооштри контролу над информацијама и прати дисиденте, посебно након недавног примирја са Израелом. Континуирани развој таквог малвера истиче еволуирајућу природу дигиталних претњи у региону.
