DCHSpy 移动恶意软件

网络安全研究人员最近发现了一波新的安卓间谍软件，据信与伊朗情报安全部（MOIS）有关。这款名为 DCHSpy 的间谍软件通过伪装成合法的 VPN 服务，甚至伪装成 SpaceX 运营的卫星互联网服务 Starlink 进行传播。此次攻击活动恰逢 2025 年 6 月以伊冲突后紧张局势加剧。

DCHSpy 的出现

研究人员于 2024 年 7 月首次检测到 DCHSpy。该工具归因于 MuddyWater，这是一个受伊朗政府支持的黑客组织，其使用各种别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（以前称为 Mercury）、Seedworm、Static Kitten、TA450 和 Yellow Nix。

DCHSpy 的早期版本被发现通过 Telegram 频道针对英语和波斯语使用者发起攻击，并使用批评伊朗政权的主题。攻击者主要针对异见人士、记者和活动人士，并使用看似可靠的 VPN 服务进行引诱。

DCHSpy 的技术能力

DCHSpy 是一款模块化木马，旨在从受感染的设备中窃取敏感数据。其功能包括：

• 收集 WhatsApp 数据、联系人、短信和通话记录
• 提取已登录设备的账户
• 访问文件和位置数据
• 录制环境音频并拍摄照片

该恶意软件还能够对受害者进行持续监视，有效地将受感染的设备转变为间谍工具。

欺骗性分销策略

最新的 DCHSpy 变种正在以流行的 VPN 服务为幌子进行传播，其中包括：

• 地球VPN（com.earth.earth_vpn）
• Comodo VPN (com.comodoapp.comodovpn)
• 隐藏VPN（com.hv.hide_vpn）

一个值得注意的例子是 Earth VPN 样本，它被发现以名为“starlink_vpn(1.3.0)-3012 (1).apk”的 APK 形式传播，这表明攻击者正在使用与 Starlink 相关的主题作为诱饵。

时机具有战略意义，因为Starlink的互联网服务于2025年6月在伊朗政府强制实施互联网断网期间推出。然而，几周后，由于未经授权的运营，该服务被伊朗议会取缔，这使得它对寻求不受限制连接的目标用户来说极具吸引力。

与先前活动的联系

DCHSpy 与 SandStrike 共享基础设施。SandStrike 是另一款安卓间谍软件，于 2022 年 11 月被举报，因其通过虚假 VPN 应用程序针对波斯语用户。与 SandStrike 一样，DCHSpy 也通过直接在 Telegram 等即时通讯应用上共享的恶意 URL 进行传播。

这一新发现使 DCHSpy 加入了针对中东目标的间谍软件活动名单中，该名单中已经包括 AridSpy、BouldSpy、GuardZoo、RatMilad 和 SpyNote。

地区冲突升级

DCHSpy 的复苏反映了伊朗支持的行为体对间谍活动的持续投入。它的部署与伊朗加强信息控制和监视异见人士的努力相符，尤其是在最近与以色列停火之后。此类恶意软件的不断发展凸显了该地区数字威胁的不断演变。