Мобільне шкідливе програмне забезпечення DCHSpy
Дослідники з кібербезпеки нещодавно виявили нову хвилю артефактів шпигунського програмного забезпечення для Android, які, як вважається, пов'язані з Міністерством розвідки та безпеки Ірану (MOIS). Шпигунське програмне забезпечення, відоме як DCHSpy, розповсюджується, маскуючись під легітимні VPN-сервіси та навіть під Starlink, супутниковий інтернет-сервіс, яким керує SpaceX. Ця кампанія збігається із загостренням напруженості після ізраїльсько-іранського конфлікту в червні 2025 року.
Зміст
Поява DCHSpy
Дослідники вперше виявили DCHSpy у липні 2024 року. Інструмент приписують MuddyWater, підтримуваній державою іранській хакерській групі, яка працює під різними псевдонімами, включаючи Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (раніше Mercury), Seedworm, Static Kitten, TA450 та Yellow Nix.
Ранні версії DCHSpy були ідентифіковані як атаки на англомовних та фарсі користувачів через Telegram-канали, використовуючи теми, що критикують іранський режим. Зловмисники в основному зосереджувалися на дисидентах, журналістах та активістах, заманюючи їх, здавалося б, надійними VPN-сервісами.
Технічні можливості DCHSpy
DCHSpy — це модульний троян, призначений для збору конфіденційних даних із заражених пристроїв. Його можливості включають:
- Збір даних WhatsApp, контактів, SMS-повідомлень та журналів викликів
- Вилучення облікових записів, у які ви ввійшли на пристрій
- Доступ до файлів і даних про місцезнаходження
- Запис навколишнього звуку та фотографування
Шкідливе програмне забезпечення також здатне вести постійне спостереження за жертвою, ефективно перетворюючи скомпрометований пристрій на інструмент шпигунства.
Оманливі тактики розповсюдження
Найновіші варіанти DCHSpy поширюються під виглядом популярних VPN-сервісів, зокрема:
- VPN Землі (com.earth.earth_vpn)
- Comodo VPN (com.comodoapp.comodovpn)
- Приховати VPN (com.hv.hide_vpn)
Яскравим прикладом є зразок Earth VPN, який було виявлено у вигляді APK-файлу під назвою «starlink_vpn(1.3.0)-3012 (1).apk», що вказує на те, що зловмисники використовують теми, пов’язані зі Starlink, як приманки.
Час стратегічно вдалий, оскільки інтернет-сервіс Starlink був запущений в Ірані в червні 2025 року під час урядового відключення інтернету. Однак через кілька тижнів іранський парламент заборонив сервіс через несанкціоновані операції, що зробило його привабливою приманкою для цільових осіб, які шукають необмеженого підключення.
Зв'язки з попередніми кампаніями
DCHSpy має спільну інфраструктуру зі SandStrike, ще одним шпигунським програмним забезпеченням для Android, яке було позначено в листопаді 2022 року за націлювання на перськомовних через фальшиві VPN-додатки. Як і SandStrike, DCHSpy поширюється за допомогою шкідливих URL-адрес, що передаються безпосередньо через месенджери, такі як Telegram.
Це нове відкриття додає DCHSpy до зростаючого списку шпигунських кампаній, спрямованих на цілі на Близькому Сході, який вже включає AridSpy, BouldSpy, GuardZoo, RatMilad та SpyNote.
Ескалація на тлі регіональних конфліктів
Відродження DCHSpy відображає постійні інвестиції в шпигунські операції з боку підтримуваних Іраном суб'єктів. Його розгортання узгоджується зі зусиллями Ірану щодо посилення контролю над інформацією та моніторингу дисидентів, особливо після нещодавнього припинення вогню з Ізраїлем. Постійний розвиток такого шкідливого програмного забезпечення підкреслює еволюцію цифрових загроз у регіоні.
