มัลแวร์มือถือ DCHSpy
นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งค้นพบสปายแวร์บนระบบปฏิบัติการแอนดรอยด์ระลอกใหม่ ซึ่งเชื่อว่าเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) สปายแวร์นี้รู้จักกันในชื่อ DCHSpy แพร่กระจายโดยปลอมตัวเป็นบริการ VPN ที่ถูกกฎหมาย และแม้กระทั่ง Starlink บริการอินเทอร์เน็ตผ่านดาวเทียมที่ดำเนินการโดย SpaceX แคมเปญนี้เกิดขึ้นพร้อมกับความตึงเครียดที่เพิ่มสูงขึ้นหลังความขัดแย้งระหว่างอิสราเอลและอิหร่านในเดือนมิถุนายน พ.ศ. 2568
สารบัญ
การเกิดขึ้นของ DCHSpy
นักวิจัยตรวจพบ DCHSpy ครั้งแรกในเดือนกรกฎาคม พ.ศ. 2567 เครื่องมือดังกล่าวมาจาก MuddyWater ซึ่งเป็นกลุ่มแฮกเกอร์ชาวอิหร่านที่ได้รับการสนับสนุนจากรัฐบาลและดำเนินการภายใต้ชื่อปลอมต่างๆ รวมถึง Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (เดิมชื่อ Mercury), Seedworm, Static Kitten, TA450 และ Yellow Nix
DCHSpy เวอร์ชันแรกๆ ถูกระบุว่ามุ่งเป้าไปที่ผู้ใช้ภาษาอังกฤษและภาษาเปอร์เซียผ่านช่องทาง Telegram โดยใช้ประเด็นวิพากษ์วิจารณ์ระบอบการปกครองอิหร่าน ผู้โจมตีส่วนใหญ่มุ่งเป้าไปที่กลุ่มผู้เห็นต่างทางการเมือง นักข่าว และนักเคลื่อนไหว ด้วยการล่อลวงพวกเขาด้วยบริการ VPN ที่ดูเหมือนจะน่าเชื่อถือ
ความสามารถทางเทคนิคของ DCHSpy
DCHSpy เป็นโทรจันแบบโมดูลาร์ที่ออกแบบมาเพื่อรวบรวมข้อมูลสำคัญจากอุปกรณ์ที่ติดไวรัส ความสามารถประกอบด้วย:
- รวบรวมข้อมูล WhatsApp รายชื่อติดต่อ ข้อความ SMS และบันทึกการโทร
- การแยกบัญชีที่ลงชื่อเข้าใช้ในอุปกรณ์
- การเข้าถึงไฟล์และข้อมูลตำแหน่ง
- การบันทึกเสียงแวดล้อมและการถ่ายภาพ
นอกจากนี้มัลแวร์ยังสามารถเฝ้าติดตามเหยื่ออย่างต่อเนื่อง โดยเปลี่ยนอุปกรณ์ที่ถูกบุกรุกให้กลายเป็นเครื่องมือสอดส่องได้อย่างมีประสิทธิภาพ
กลยุทธ์การจัดจำหน่ายที่หลอกลวง
DCHSpy รุ่นล่าสุดกำลังแพร่กระจายภายใต้หน้ากากของบริการ VPN ยอดนิยม ซึ่งรวมถึง:
- Earth VPN (com.earth.earth_vpn)
- ประชา VPN (com.comodoapp.comodovpn)
- ซ่อน VPN (com.hv.hide_vpn)
ตัวอย่างที่น่าสังเกตคือตัวอย่าง Earth VPN ซึ่งพบว่ามีการหมุนเวียนในรูปแบบ APK ชื่อ 'starlink_vpn(1.3.0)-3012 (1).apk' ซึ่งบ่งชี้ว่าผู้โจมตีกำลังใช้ธีมที่เกี่ยวข้องกับ Starlink เป็นเหยื่อล่อ
ช่วงเวลานี้ถือเป็นกลยุทธ์ เนื่องจากบริการอินเทอร์เน็ตของ Starlink ได้เปิดตัวในอิหร่านเมื่อเดือนมิถุนายน พ.ศ. 2568 ในช่วงที่รัฐบาลอิหร่านสั่งระงับการให้บริการอินเทอร์เน็ต อย่างไรก็ตาม บริการนี้ถูกสั่งห้ามโดยรัฐสภาอิหร่านในอีกไม่กี่สัปดาห์ต่อมา เนื่องจากการดำเนินงานที่ไม่ได้รับอนุญาต ทำให้บริการนี้กลายเป็นสิ่งดึงดูดใจสำหรับบุคคลเป้าหมายที่ต้องการการเชื่อมต่อแบบไร้ขีดจำกัด
การเชื่อมต่อกับแคมเปญก่อนหน้า
DCHSpy แบ่งปันโครงสร้างพื้นฐานกับ SandStrike ซึ่งเป็นสปายแวร์แอนดรอยด์อีกตัวหนึ่งที่ถูกตรวจพบในเดือนพฤศจิกายน 2022 ว่ามีเป้าหมายโจมตีผู้ใช้ภาษาเปอร์เซียผ่านแอปพลิเคชัน VPN ปลอม เช่นเดียวกับ SandStrike, DCHSpy แพร่กระจายโดยใช้ URL อันตรายที่แชร์โดยตรงผ่านแอปส่งข้อความ เช่น Telegram
การค้นพบใหม่นี้จะเพิ่ม DCHSpy ลงในรายชื่อแคมเปญสปายแวร์ที่เพิ่มมากขึ้นซึ่งมุ่งเป้าไปที่เป้าหมายในตะวันออกกลาง ซึ่งได้แก่ AridSpy, BouldSpy, GuardZoo, RatMilad และ SpyNote
การยกระดับท่ามกลางความขัดแย้งในภูมิภาค
การกลับมาของ DCHSpy สะท้อนให้เห็นถึงการลงทุนอย่างต่อเนื่องในปฏิบัติการจารกรรมโดยกลุ่มที่ได้รับการสนับสนุนจากอิหร่าน การใช้งานสอดคล้องกับความพยายามของอิหร่านในการควบคุมข้อมูลอย่างเข้มงวดและติดตามผู้เห็นต่าง โดยเฉพาะอย่างยิ่งหลังจากการหยุดยิงกับอิสราเอลเมื่อเร็วๆ นี้ การพัฒนาอย่างต่อเนื่องของมัลแวร์ประเภทนี้เน้นย้ำถึงลักษณะที่เปลี่ยนแปลงไปของภัยคุกคามทางดิจิทัลในภูมิภาค
