DCHSpy 行動惡意軟體

網路安全研究人員最近發現了一波新的安卓間諜軟體，據信與伊朗情報安全部（MOIS）有關。這款名為 DCHSpy 的間諜軟體透過偽裝成合法的 VPN 服務，甚至偽裝成 SpaceX 營運的衛星網路服務 Starlink 進行傳播。這場攻擊活動恰逢 2025 年 6 月以伊衝突後緊張局勢加劇。

DCHSpy 的出現

研究人員於 2024 年 7 月首次偵測到 DCHSpy。該工具歸因於 MuddyWater，這是一個受伊朗政府支持的駭客組織，其使用各種別名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（以前稱為 Mercury）、Seedworm、Static Kitten、TA450 和 Yellow Nix。

DCHSpy 的早期版本被發現透過 Telegram 頻道針對英語和波斯語使用者發動攻擊，並使用批評伊朗政權的主題。攻擊者主要針對異議人士、記者和活動人士，並使用看似可靠的 VPN 服務進行引誘。

DCHSpy 的技術能力

DCHSpy 是一款模組化木馬，旨在從受感染的裝置中竊取敏感資料。其功能包括：

• 收集 WhatsApp 數據、聯絡人、簡訊和通話記錄
• 提取已登入裝置的帳戶
• 存取文件和位置數據
• 錄製環境音訊並拍攝照片

該惡意軟體還能夠對受害者進行持續監視，有效地將受感染的裝置轉變為間諜工具。

欺騙性分銷策略

最新的 DCHSpy 變種正在以流行的 VPN 服務為幌子進行傳播，其中包括：

• 地球VPN（com.earth.earth_vpn）
• Comodo VPN (com.comodoapp.comodovpn)
• 隱藏VPN（com.hv.hide_vpn）

一個值得注意的例子是 Earth VPN 樣本，它被發現以名為「starlink_vpn(1.3.0)-3012 (1).apk」的 APK 形式傳播，這表明攻擊者正在使用與 Starlink 相關的主題作為誘餌。

時機具有戰略意義，因為Starlink的網路服務於2025年6月在伊朗政府強制實施網路斷網期間推出。然而，幾週後，由於未經授權的運營，該服務被伊朗議會取締，這使得它對尋求不受限制連接的目標用戶來說極具吸引力。

與先前活動的聯繫

DCHSpy 與 SandStrike 共用基礎架構。 SandStrike 是另一款安卓間諜軟體，於 2022 年 11 月被舉報，因其透過虛假 VPN 應用程式針對波斯語用戶。與 SandStrike 一樣，DCHSpy 也透過直接在 Telegram 等即時通訊應用程式上共享的惡意 URL 進行傳播。

這項新發現使 DCHSpy 加入了針對中東目標的間諜軟體活動名單中，該名單中已經包括 AridSpy、BouldSpy、GuardZoo、RatMilad 和 SpyNote。

區域衝突升級

DCHSpy 的復甦反映了伊朗支持的行為體對間諜活動的持續投入。它的部署與伊朗加強資訊控制和監視異議人士的努力相符，尤其是在最近與以色列停火之後。此類惡意軟體的不斷發展凸顯了該地區數位威脅的不斷演變。