Istraživači kibernetičke sigurnosti otkrili su nove artefakte špijunskog softvera za Android koji su vjerovatno povezani s iranskim Ministarstvom obavještajnih službi i sigurnosti (MOIS) i distribuirani su metama maskirajući se kao VPN aplikacije i Starlink, usluga satelitske internet veze koju nudi SpaceX.
Proizvođač mobilnih sigurnosnih rješenja Lookout izjavio je da je otkrio četiri uzorka alata za nadzor koji prati kao DCHSpy, sedmicu dana nakon početka izraelsko-iranskog sukoba prošlog mjeseca. Nije jasno koliko je tačno ljudi moglo instalirati ove aplikacije.
„DCHSpy prikuplja podatke o WhatsAppu, račune, kontakte, SMS poruke, datoteke, lokaciju i zapise poziva, te može snimati zvuk i fotografirati“, rekli su sigurnosni istraživači Alemdar Islamoglu i Justin Albrecht .
Prvi put otkriven u julu 2024. godine, DCHSpy se procjenjuje kao djelo MuddyWatera , iranske nacionalne državne grupe povezane s MOIS-om. Hakerska ekipa se također naziva Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ranije Mercury), Seedworm, Static Kitten, TA450 i Yellow Nix.
Rane iteracije DCHSPy-a identificirane su kao ciljane osobe koje govore engleski i perzijski jezik putem Telegram kanala koristeći teme koje su suprotne iranskom režimu. S obzirom na korištenje VPN mamaca za oglašavanje malicioznog softvera, vjerovatno je da su disidenti, aktivisti i novinari meta ove aktivnosti.
Sumnja se da se novoidentifikovane varijante DCHSpy-a koriste protiv protivnika nakon nedavnog sukoba u regiji, predstavljajući ih kao naizgled korisne usluge poput Earth VPN-a (“com.earth.earth_vpn”), Comodo VPN-a (“com.comodoapp.comodovpn”) i Hide VPN-a (“com.hv.hide_vpn”).
Zanimljivo je da je jedan od uzoraka Earth VPN aplikacije distribuiran u obliku APK datoteka pod nazivom “starlink_vpn(1.3.0)-3012 (1).apk”, što ukazuje na to da se maliciozni softver vjerovatno širi na ciljeve koristeći mamce povezane sa Starlinkom.
Vrijedi napomenuti da je Starlinkova satelitska internet usluga aktivirana u Iranu prošlog mjeseca usred vladinog prekida interneta . Međutim, nekoliko sedmica kasnije, parlament te zemlje glasao je za zabranu njene upotrebe zbog neovlaštenih operacija.
Modularni trojanac, DCHSpy, opremljen je za prikupljanje širokog spektra podataka, uključujući podatke o računima prijavljenim na uređaj, kontakte, SMS poruke, zapise poziva, datoteke, lokaciju, ambijentalne zvukove, fotografije i informacije sa WhatsAppa.
DCHSpy takođe dijeli infrastrukturu s drugim Android maliciozni softverom poznatim kao SandStrike , kojeg je Kaspersky u novembru 2022. godine označio kao softver koji cilja osobe koje govore perzijski predstavljajući se kao naizgled bezopasne VPN aplikacije.
Otkriće DCHSpy-a je najnoviji primjer Android špijunskog softvera koji je korišten za ciljanje pojedinaca i subjekata na Bliskom istoku. Ostali dokumentovani sojevi malicioznog softvera uključuju AridSpy , BouldSpy , GuardZoo , RatMilad i SpyNote .
„DCHSpy koristi slične taktike i infrastrukturu kao SandStrike“, rekao je Lookout. „Distribuira se ciljanim grupama i pojedincima koristeći zlonamjerne URL-ove koji se dijele direktno putem aplikacija za razmjenu poruka kao što je Telegram.“
“Ovi najnoviji uzorci DCHSpy-a ukazuju na kontinuirani razvoj i korištenje softvera za nadzor kako se situacija na Bliskom istoku razvija, posebno kako Iran preduzima mjere protiv svojih građana nakon primirja s Izraelom.”
Izvor:The Hacker News
