DCHSpy Mobile Malware

Natuklasan kamakailan ng mga mananaliksik sa cybersecurity ang isang bagong wave ng mga artifact ng Android spyware, na pinaniniwalaang naka-link sa Iranian Ministry of Intelligence and Security (MOIS). Ang spyware, na kilala bilang DCHSpy, ay ipinamamahagi sa pamamagitan ng pagkukunwari sa sarili bilang mga lehitimong serbisyo ng VPN at maging bilang Starlink, ang satellite internet service na pinapatakbo ng SpaceX. Ang kampanyang ito ay kasabay ng tumaas na tensyon kasunod ng salungatan sa Israel-Iran noong Hunyo 2025.

Ang Paglabas ng DCHSpy

Unang natukoy ng mga mananaliksik ang DCHSpy noong Hulyo 2024. Ang tool ay nauugnay sa MuddyWater, isang Iranian hacking group na sinusuportahan ng estado na nagpapatakbo sa ilalim ng iba't ibang alyas, kabilang ang Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (dating Mercury), Seedworm, Static Kitten, TA450, at Yellow Nix.

Natukoy ang mga unang bersyon ng DCHSpy na nagta-target sa mga nagsasalita ng Ingles at Farsi sa pamamagitan ng mga channel ng Telegram, gamit ang mga temang kritikal sa rehimeng Iranian. Pangunahing tumutok ang mga umaatake sa mga dissidents, mamamahayag, at aktibista sa pamamagitan ng pag-akit sa kanila ng tila mapagkakatiwalaang mga serbisyo ng VPN.

Mga Kakayahang Teknikal ng DCHSpy

Ang DCHSpy ay isang modular trojan na idinisenyo upang mag-ani ng sensitibong data mula sa mga nahawaang device. Kasama sa mga kakayahan nito ang:

• Pagkolekta ng data ng WhatsApp, mga contact, mga mensaheng SMS, at mga log ng tawag
• Pag-extract ng mga account na naka-sign in sa device
• Pag-access sa mga file at data ng lokasyon
• Pagre-record ng ambient na audio at pagkuha ng mga larawan

May kakayahan din ang malware na mapanatili ang patuloy na pagsubaybay sa biktima, na epektibong ginagawang isang tool sa pag-espiya ang nakompromisong device.

Mga Mapanlinlang na Taktika sa Pamamahagi

Ang pinakabagong mga variant ng DCHSpy ay kumakalat sa ilalim ng pagkukunwari ng mga sikat na serbisyo ng VPN, kabilang ang:

• Earth VPN (com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• Itago ang VPN (com.hv.hide_vpn)

Ang isang kapansin-pansing halimbawa ay ang sample ng Earth VPN, na natagpuang umiikot bilang isang APK na pinangalanang 'starlink_vpn(1.3.0)-3012 (1).apk', na nagpapahiwatig na ang mga umaatake ay gumagamit ng mga tema na nauugnay sa Starlink bilang mga pang-akit.

Madiskarte ang tiyempo, dahil ang serbisyo ng internet ng Starlink ay inilunsad sa Iran noong Hunyo 2025 sa panahon ng ipinataw ng gobyerno na internet blackout. Gayunpaman, ang serbisyo ay ipinagbawal pagkaraan ng ilang linggo ng Iranian parliament dahil sa mga hindi awtorisadong operasyon, na ginagawa itong isang kaakit-akit na pang-akit para sa mga naka-target na indibidwal na naghahanap ng hindi pinaghihigpitang koneksyon.

Mga Koneksyon sa Nakaraang Mga Kampanya

Ibinahagi ng DCHSpy ang imprastraktura nito sa SandStrike, isa pang Android spyware na na-flag noong Nobyembre 2022 para sa pag-target ng mga Persian speaker sa pamamagitan ng mga pekeng VPN application. Tulad ng SandStrike, ipinamahagi ang DCHSpy gamit ang mga nakakahamak na URL na direktang ibinahagi sa mga app sa pagmemensahe gaya ng Telegram.

Ang bagong pagtuklas na ito ay nagdaragdag ng DCHSpy sa isang lumalagong listahan ng mga kampanyang spyware na naglalayong sa mga target sa Middle Eastern, na kinabibilangan na ng AridSpy, BouldSpy, GuardZoo, RatMilad, at SpyNote.

Pagtaas sa gitna ng mga salungatan sa rehiyon

Ang muling pagkabuhay ng DCHSpy ay sumasalamin sa isang patuloy na pamumuhunan sa mga operasyon ng espiya ng mga aktor na suportado ng Iran. Ang deployment nito ay umaayon sa mga pagsisikap ng Iran na higpitan ang kontrol sa impormasyon at subaybayan ang mga dissidente, lalo na kasunod ng kamakailang tigil-putukan sa Israel. Ang patuloy na pag-unlad ng naturang malware ay nagtatampok sa umuusbong na katangian ng mga digital na banta sa rehiyon.