Onderzoekers van cybersecurity hebben nieuwe Android -spyware -artefacten opgegraven die waarschijnlijk zijn verbonden aan het Iraanse ministerie van Intelligentie en Veiligheid (MOIS) en zijn verdeeld over doelen door zich voor te doen als VPN -apps en Starlink, een satelliet internetverbindingsdienst aangeboden door SpaceX.
Lookout van de mobiele beveiligingsverkoper zei dat het vier monsters ontdekte van een tool voor surveillanceware die het volgt als Dchspy Een week na het begin van het Israël-Iran-conflict vorige maand. Hoeveel mensen deze apps precies hebben geïnstalleerd, is niet duidelijk.
“DCHSPY verzamelt WhatsApp -gegevens, accounts, contacten, sms, bestanden, locatie en oproeplogboeken en kan audio opnemen en foto’s maken,” zeiden beveiligingsonderzoekers Alemdar Islamoglu en Justin Albrecht.
Voor het eerst gedetecteerd in juli 2024, wordt DCHSPY beoordeeld als het handwerk van Muddywater, een Iraanse natiestaatgroep gebonden aan Mois. De hackploeg wordt ook boggy serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (voorheen Mercurius), zaadworm, statisch kitten, TA450 en Yellow Nix genoemd.
Vroege iteraties van DCHSPY zijn geïdentificeerd gericht op Engelse en Farsi -luidsprekers via telegramkanalen met behulp van thema’s die in strijd zijn met het Iraanse regime. Gezien het gebruik van VPN -kunstaas om de malware te adverteren, is het waarschijnlijk dat dissidenten, activisten en journalisten een doelwit zijn van de activiteit.
Er wordt vermoed dat de nieuw geïdentificeerde DCHSPY -varianten worden ingezet tegen tegenstanders in de nasleep van het recente conflict in de regio door ze af te geven als schijnbaar nuttige diensten zoals Earth VPN (“com.earth.earth_vpn”), Comodo VPN (“Com.comodoapp
Interessant is dat een van de Earth VPN-app-monsters is gebleken te worden gedistribueerd in de vorm van APK-bestanden met behulp van de naam “Starlink_VPN (1.3.0) -3012 (1) .APK,” wat aangeeft dat de malware waarschijnlijk wordt verspreid naar doelen met starlink-gerelateerde kunstaas.
Het is vermeldenswaard dat Starlink’s satellietinternetdienst was geactiveerd in Iran vorige maand te midden van een door de overheid opgelegde internetblackout. Maar weken later stemde het parlement van het land om het gebruik ervan over ongeautoriseerde operaties te verbieden.
DchSpy is een modulaire Trojan en is uitgerust om een breed scala aan gegevens te verzamelen, waaronder het account dat is aangemeld bij het apparaat, contacten, sms-berichten, oproeplogboeken, bestanden, locatie, omgevingsaudio, foto’s en WhatsApp-informatie.
DCHSPY deelt ook infrastructuur met een andere Android-malware die bekend staat als Sandstrike, die in november 2022 door Kaspersky werd gemarkeerd als het richten op Perzisch sprekende individuen door zich voor te stellen als schijnbaar onschadelijke VPN-toepassingen.
De ontdekking van DCHSPY is het nieuwste exemplaar van Android -spyware die is gebruikt om zich te richten op individuen en entiteiten in het Midden -Oosten. Andere gedocumenteerde malware -stammen zijn Aridspy, Bouldspy, Guardzoo, Ratmilad en Spynote.
“DCHSPY gebruikt vergelijkbare tactieken en infrastructuur als Sandstrike,” zei Lookout. “Het wordt verdeeld onder gerichte groepen en individuen door gebruik te maken van kwaadaardige URL’s die direct worden gedeeld over berichten -apps zoals Telegram.”
“Deze meest recente monsters van DCHSPY duiden op voortdurende ontwikkeling en gebruik van de surveillanceware naarmate de situatie in het Midden -Oosten evolueert, vooral omdat Iran zijn burgers opslaat na het staakt -het -vuren met Israël.”
