Phần mềm độc hại di động DCHSpy

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một làn sóng phần mềm gián điệp Android mới, được cho là có liên quan đến Bộ Tình báo và An ninh Iran (MOIS). Phần mềm gián điệp, được gọi là DCHSpy, được phát tán bằng cách ngụy trang thành các dịch vụ VPN hợp pháp và thậm chí là Starlink, dịch vụ internet vệ tinh do SpaceX vận hành. Chiến dịch này trùng khớp với căng thẳng gia tăng sau cuộc xung đột Israel-Iran vào tháng 6 năm 2025.

Sự xuất hiện của DCHSpy

Các nhà nghiên cứu lần đầu tiên phát hiện ra DCHSpy vào tháng 7 năm 2024. Công cụ này được cho là của MuddyWater, một nhóm tin tặc Iran được nhà nước hậu thuẫn hoạt động dưới nhiều bí danh khác nhau, bao gồm Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (trước đây là Mercury), Seedworm, Static Kitten, TA450 và Yellow Nix.

Các phiên bản đầu tiên của DCHSpy được xác định nhắm mục tiêu vào người nói tiếng Anh và tiếng Ba Tư thông qua các kênh Telegram, sử dụng các chủ đề chỉ trích chế độ Iran. Những kẻ tấn công chủ yếu nhắm vào những người bất đồng chính kiến, nhà báo và nhà hoạt động bằng cách dụ dỗ họ bằng các dịch vụ VPN có vẻ đáng tin cậy.

Khả năng kỹ thuật của DCHSpy

DCHSpy là một trojan dạng module được thiết kế để thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm. Các khả năng của nó bao gồm:

• Thu thập dữ liệu WhatsApp, danh bạ, tin nhắn SMS và nhật ký cuộc gọi
• Trích xuất các tài khoản đã đăng nhập vào thiết bị
• Truy cập tệp và dữ liệu vị trí
• Ghi âm thanh xung quanh và chụp ảnh

Phần mềm độc hại này cũng có khả năng duy trì giám sát liên tục đối với nạn nhân, biến thiết bị bị xâm phạm thành công cụ gián điệp.

Chiến thuật phân phối lừa đảo

Các biến thể DCHSpy mới nhất đang được phát tán dưới vỏ bọc của các dịch vụ VPN phổ biến, bao gồm:

• Earth VPN (com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• Ẩn VPN (com.hv.hide_vpn)

Một ví dụ đáng chú ý là mẫu Earth VPN, được phát hiện đang lưu hành dưới dạng APK có tên 'starlink_vpn(1.3.0)-3012 (1).apk', cho thấy kẻ tấn công đang sử dụng các chủ đề liên quan đến Starlink làm mồi nhử.

Thời điểm này mang tính chiến lược, vì dịch vụ internet của Starlink được ra mắt tại Iran vào tháng 6 năm 2025 trong thời gian chính phủ áp đặt lệnh cắt internet. Tuy nhiên, vài tuần sau, dịch vụ này đã bị quốc hội Iran cấm do các hoạt động trái phép, khiến nó trở thành một mồi nhử hấp dẫn đối với những cá nhân đang tìm kiếm kết nối không giới hạn.

Kết nối với các chiến dịch trước đó

DCHSpy chia sẻ cơ sở hạ tầng với SandStrike, một phần mềm gián điệp Android khác bị phát hiện vào tháng 11 năm 2022 vì nhắm mục tiêu vào người nói tiếng Ba Tư thông qua các ứng dụng VPN giả mạo. Giống như SandStrike, DCHSpy được phân phối bằng cách sử dụng các URL độc hại được chia sẻ trực tiếp qua các ứng dụng nhắn tin như Telegram.

Phát hiện mới này bổ sung DCHSpy vào danh sách ngày càng dài các chiến dịch phần mềm gián điệp nhắm vào các mục tiêu ở Trung Đông, trong đó có AridSpy, BouldSpy, GuardZoo, RatMilad và SpyNote.

Leo thang giữa các cuộc xung đột khu vực

Sự trỗi dậy của DCHSpy phản ánh sự đầu tư liên tục vào các hoạt động gián điệp của các tác nhân được Iran hậu thuẫn. Việc triển khai DCHSpy phù hợp với nỗ lực của Iran nhằm thắt chặt kiểm soát thông tin và giám sát những người bất đồng chính kiến, đặc biệt là sau lệnh ngừng bắn gần đây với Israel. Sự phát triển liên tục của loại phần mềm độc hại này làm nổi bật bản chất đang thay đổi của các mối đe dọa kỹ thuật số trong khu vực.