DCHSpy mobil skadlig programvara
Cybersäkerhetsforskare har nyligen avslöjat en ny våg av Android-spionprogram, som tros vara kopplade till det iranska underrättelse- och säkerhetsministeriet (MOIS). Spionprogrammet, känt som DCHSpy, distribueras genom att förkläda sig till legitima VPN-tjänster och till och med som Starlink, den satellitbaserade internettjänsten som drivs av SpaceX. Denna kampanj sammanfaller med de ökade spänningarna efter Israel-Iran-konflikten i juni 2025.
Innehållsförteckning
DCHSpys framväxt
Forskare upptäckte DCHSpy först i juli 2024. Verktyget tillskrivs MuddyWater, en statsstödd iransk hackergrupp som verkar under olika alias, inklusive Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (tidigare Mercury), Seedworm, Static Kitten, TA450 och Yellow Nix.
Tidiga versioner av DCHSpy identifierades som riktade mot engelsk- och farsitalande via Telegram-kanaler, med teman som var kritiska mot den iranska regimen. Angriparna fokuserade främst på dissidenter, journalister och aktivister genom att locka dem med till synes pålitliga VPN-tjänster.
DCHSpys tekniska funktioner
DCHSpy är en modulär trojan utformad för att samla in känslig data från infekterade enheter. Dess funktioner inkluderar:
- Samlar in WhatsApp-data, kontakter, SMS-meddelanden och samtalsloggar
- Extraherar konton som är inloggade på enheten
- Åtkomst till filer och platsdata
- Inspelning av omgivande ljud och fotografering
Skadlig programvara kan också upprätthålla kontinuerlig övervakning av offret och effektivt omvandla den komprometterade enheten till ett spionverktyg.
Bedrägliga distributionstaktik
De senaste DCHSpy-varianterna sprids under täckmantel av populära VPN-tjänster, inklusive:
- Jordens VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Dölj VPN (com.hv.hide_vpn)
Ett anmärkningsvärt exempel är Earth VPN-exemplet, som hittades cirkulerande som en APK med namnet 'starlink_vpn(1.3.0)-3012 (1).apk', vilket indikerar att angripare använder Starlink-relaterade teman som lockbete.
Tajmingen är strategisk, eftersom Starlinks internettjänst lanserades i Iran i juni 2025 under ett regeringspålagt internetavbrott. Tjänsten förbjöds dock veckor senare av det iranska parlamentet på grund av obehörig verksamhet, vilket gjorde den till ett attraktivt lockbete för utvalda individer som söker obegränsad uppkoppling.
Kopplingar till tidigare kampanjer
DCHSpy delar sin infrastruktur med SandStrike, ett annat Android-spionprogram som flaggades i november 2022 för att rikta in sig på persiskatalande via falska VPN-applikationer. Liksom SandStrike distribueras DCHSpy med hjälp av skadliga webbadresser som delas direkt via meddelandeappar som Telegram.
Denna nya upptäckt lägger DCHSpy till en växande lista över spionprogramkampanjer riktade mot mål i Mellanöstern, som redan inkluderar AridSpy, BouldSpy, GuardZoo, RatMilad och SpyNote.
Eskalering mitt i regionala konflikter
Återuppkomsten av DCHSpy återspeglar en fortsatt investering i spionageoperationer från iranskstödda aktörer. Dess utplacering ligger i linje med Irans ansträngningar att skärpa kontrollen över information och övervaka dissidenter, särskilt efter den senaste vapenvilan med Israel. Den kontinuerliga utvecklingen av sådan skadlig kod belyser den föränderliga karaktären av digitala hot i regionen.
