DCHSpy Mobil Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğuna inanılan yeni bir Android casus yazılım dalgası ortaya çıkardı. DCHSpy olarak bilinen casus yazılım, kendisini meşru VPN hizmetleri ve hatta SpaceX tarafından işletilen uydu internet hizmeti Starlink gibi göstererek dağıtılıyor. Bu kampanya, Haziran 2025'teki İsrail-İran çatışmasının ardından artan gerilimlerle aynı zamana denk geliyor.
İçindekiler
DCHSpy’ın Ortaya Çıkışı
Araştırmacılar, DCHSpy'ı ilk olarak Temmuz 2024'te tespit etti. Aracın, Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (eski adıyla Mercury), Seedworm, Static Kitten, TA450 ve Yellow Nix gibi çeşitli takma adlar altında faaliyet gösteren devlet destekli bir İranlı bilgisayar korsanlığı grubu olan MuddyWater'a ait olduğu düşünülüyor.
DCHSpy'ın ilk sürümlerinin, İran rejimini eleştiren temalar kullanarak Telegram kanalları üzerinden İngilizce ve Farsça konuşanları hedef aldığı tespit edildi. Saldırganlar, görünüşte güvenilir VPN hizmetleriyle öncelikle muhalifleri, gazetecileri ve aktivistleri hedef alarak onları kandırdı.
DCHSpy’ın Teknik Yetenekleri
DCHSpy, enfekte cihazlardan hassas verileri toplamak için tasarlanmış modüler bir Truva atıdır. Özellikleri şunlardır:
- WhatsApp verilerini, kişileri, SMS mesajlarını ve arama kayıtlarını toplama
- Cihazda oturum açmış hesapların çıkarılması
- Dosyalara ve konum verilerine erişim
- Ortam sesini kaydetme ve fotoğraf çekme
Kötü amaçlı yazılım aynı zamanda kurban üzerinde sürekli gözetim sağlama yeteneğine de sahip olup, tehlikeye atılan cihazı etkili bir şekilde bir casusluk aracına dönüştürebiliyor.
Aldatıcı Dağıtım Taktikleri
En son DCHSpy varyantları, popüler VPN hizmetleri kisvesi altında yayılıyor, bunlar arasında şunlar yer alıyor:
- Dünya VPN (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- VPN'i gizle (com.hv.hide_vpn)
Dikkat çeken bir örnek, 'starlink_vpn(1.3.0)-3012 (1).apk' adlı bir APK olarak dolaşımda bulunan Earth VPN örneğidir; bu, saldırganların Starlink ile ilgili temaları yem olarak kullandığını göstermektedir.
Zamanlama stratejiktir, çünkü Starlink'in internet hizmeti, Haziran 2025'te İran'da hükümetin uyguladığı bir internet kesintisi sırasında başlatılmıştı. Ancak hizmet, izinsiz işlemler nedeniyle birkaç hafta sonra İran parlamentosu tarafından yasaklandı ve bu da onu, sınırsız bağlantı arayan hedef kitleler için cazip bir cazibe merkezi haline getirdi.
Önceki Kampanyalarla Bağlantılar
DCHSpy, altyapısını, Kasım 2022'de sahte VPN uygulamaları aracılığıyla Farsça konuşanları hedef aldığı tespit edilen bir diğer Android casus yazılımı olan SandStrike ile paylaşıyor. SandStrike gibi DCHSpy da Telegram gibi mesajlaşma uygulamaları üzerinden doğrudan paylaşılan kötü amaçlı URL'ler kullanılarak dağıtılıyor.
Bu yeni keşif, DCHSpy'ı, halihazırda AridSpy, BouldSpy, GuardZoo, RatMilad ve SpyNote'u içeren Orta Doğu hedeflerini hedefleyen casus yazılım kampanyalarının giderek artan listesine ekliyor.
Bölgesel Çatışmalar Ortasında Tırmanış
DCHSpy'ın yeniden canlanması, İran destekli aktörlerin casusluk operasyonlarına yaptığı sürekli yatırımı yansıtıyor. Bu yazılım, özellikle İsrail ile yakın zamanda imzalanan ateşkesin ardından, İran'ın bilgi üzerindeki kontrolünü sıkılaştırma ve muhalifleri izleme çabalarıyla örtüşüyor. Bu tür kötü amaçlı yazılımların sürekli geliştirilmesi, bölgedeki dijital tehditlerin sürekli değişen yapısını gözler önüne seriyor.
