(снимка: CC0 Public Domain)
Нов шпионски софтуер за Android наподобява по начина на разпространение и действие по-ранни заплахи от този вид и вероятно има същия произход. Експерти идентифицираха компоненти на програмата, маскирани като VPN услуги и инструменти за свързване към сателитната комуникационна система Starlink.
Тези програми са създадени от структури, свързани с иранското Министерство на разузнаването и националната сигурност (MOIS), твърдят изследователите от Lookout. Те са открили общо четири образци от шпионския софтуер през юни, на които е дадено наименование DCHSpy.
Зловредният софтуер DCHSpy извлича данни от WhatsApp, акаунти, контакти, SMS, файлове, геолокация и дневници на обаждания. Освен това може да записва аудио и да прави снимки.
За първи път открит през юли 2024 г., DCHSpy се смята за дело на клъстера MuddyWater APT, който е свързан с MOIS. Групата обаче има много имена, тъй като почти всеки изследователски екип по сигурността определя свой собствен вариант: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (преди Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.
Първите версии на DCHSpy бяха разпространени сред англоезични и персийскоговорящи потребители чрез Telegram канали със съдържание, противопоставящо се на иранското правителство. Тъй като зловредният софтуер е бил популяризиран чрез примамливи VPN приложения, вероятно целите са били предимно дисиденти, активисти и журналисти.
Според нови данни, текущите варианти на DCHSpy се разпространяват сред противниците на властта след неотдавнашния конфликт в региона под прикритието на полезни приложения като Earth VPN, Comodo VPN и Hide VPN.
Един от образците на Earth VPN е разпространен като APK файл с име starlink_vpn(1.3.0)-3012 (1).apk, което показва, че зловредният софтуер вероятно се промотира чрез експлоатиране на темата Starlink.
Достъпът до сателитен интернет Starlink в Иран беше отворен през юни – на фона на спирането на „земния” интернет от страна на правителството. Само няколко седмици по-късно обаче законодателното събрание на страната гласува за пълна забрана на използването му поради „незаконна дейност”.
Модулният троянски кон DCHSpy е способен да събира широк набор от данни, включително акаунти, контакти, SMS съобщения, дневници на обаждания, файлове и координати на физическо местоположение. Той може също да записва фонов звук и да прави снимки без знанието на собственика.
DCHSpy използва същата инфраструктура като друг зловреден софтуер за Android, SandStrike, описан от Kaspersky Lab през ноември 2022 г. По това време той се разпространяваше сред персийскоговорящи потребители под прикритието на безобидни VPN приложения.
Използването на VPN като примамка е много ефективен метод. А откриването на DCHSpy е пореден пример за използване на зловреден софтуер за Android с цел шпиониране на хора и организации в Близкия изток. Подобна функционалност имат AridSpy, BouldSpy, GuardZoo, RatMilad, SpyNote и други програми.
