Los investigadores de ciberseguridad han desenterrado nuevos artefactos de spyware de Android que probablemente estén afiliados al Ocupación de Inteligencia y Seguridad de Irán (MOI) y se han distribuido a objetivos disfrazando como aplicaciones VPN y Starlink, un servicio de conexión a Internet secuaz ofrecido por SpaceX.
Mobile Security Proveor Lookout dijo que descubrió cuatro muestras de una útil de vigilancia de surve que rastrea como Dchspy Una semana posteriormente del inicio del conflicto de Israel-Irán el mes pasado. No está claro cuántas personas pueden suceder instalado estas aplicaciones.
“DCHSPY recopila datos de WhatsApp, cuentas, contactos, SMS, archivos, ubicación y registros de llamadas, y puede registrar audio y tomar fotos”, dijeron los investigadores de seguridad Alemdar Islamoglu y Justin Albrecht.
Detectado por primera vez en julio de 2024, se evalúa que DCHSPY es el trabajo de Muddywater, un conjunto de estado-nación iraní vinculado a Mois. El equipo de piratería igualmente se fogosidad Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercurio), infeliz de semillas, gatito pasivo, TA450 y Nix amarillo.
Se han identificado iteraciones tempranas de DCHSPY dirigidas a los hablantes de inglés y farsi a través de canales de telegrama que usan temas que van en contra del régimen iraní. Hexaedro el uso de señuelos de VPN para anunciar el malware, es probable que los disidentes, activistas y periodistas sean objetivo de la actividad.
Se sospecha que las variantes DCHSPY recientemente identificadas se están desplegando contra adversarios a raíz del conflicto flamante en la región al pasarlas como servicios aparentemente efectos como Earth VPN (“com.earth.earth_vpn”), comodo vpn (“comodoapp.comodovpn”) y refugio vpn (“com.hv.hide_vpn”).
Curiosamente, se ha enemigo que una de las muestras de aplicaciones VPN de la Tierra se distribuye en forma de archivos APK utilizando el nombre “StarLink_VPN (1.3.0) -3012 (1) .APK”, lo que indica que el malware probablemente se está propagando a objetivos utilizando filas relacionadas con StarLink.
Vale la pena señalar que el servicio de Internet satelital de Starlink fue activado en Irán el mes pasado en medio de un corte de Internet impuesto por el gobierno. Pero, semanas posteriormente, el parlamento del país votó para prohibir su uso sobre las operaciones no autorizadas.
Un troyano modular, DCHSPY está equipado para compilar una amplia viso de datos, incluida la cuenta de la cuenta en el dispositivo, contactos, mensajes SMS, registros de llamadas, archivos, ubicación, audio ambiental, fotos e información de WhatsApp.
DCHSPY igualmente comparte la infraestructura con otro malware de Android conocido como Sandstrike, que fue impresionado por Kaspersky en noviembre de 2022 como a las personas de palabra persa haciéndose acaecer por aplicaciones VPN aparentemente inofensivas.
El descubrimiento de DCHSPY es la última instancia de Android Spyware que se ha utilizado para atacar a individuos y entidades en el Medio Oriente. Otras cepas de malware documentadas incluyen Aridspy, Bouldspy, Guardzoo, Ratmilad y Spynote.
“DCHSPY utiliza tácticas e infraestructura similares que Sandstrike”, dijo Lookout. “Se distribuye a grupos e individuos específicos al beneficiarse las URL maliciosas compartidas directamente sobre aplicaciones de correo como Telegram”.
“Estas muestras más recientes de DCHSPY indican el expansión continuo y el uso del sur de vigilancia a medida que evoluciona la situación en el Medio Oriente, especialmente cuando Irán toma medidas enérgicas contra sus ciudadanos posteriormente del detención el fuego con Israel”.
