23/07/25
ИБ-специалисты из компании Lookout выявили новый Android-шпион под названием DCHSpy, который связывают с иранским Министерством разведки и безопасности (MOIS). Данное программное обеспечение распространяется под видом VPN-сервисов и даже использует в качестве приманки бренд Starlink.
Исследователи обнаружили сразу четыре экземпляра вредоносной программы всего через неделю после начала конфликта. Впервые DCHSpy был замечен в июле 2024 года, согласно Securitylab. По мнению исследователей, он связан с группировкой MuddyWater — хакерским подразделением, которое работает в интересах иранского правительства и известно также под именами Boggy Serpens, Cobalt Ulster, TA450, Seedworm, Static Kitten и другими. Программное обеспечение собирает обширную информацию: от данных WhatsApp, контактов и SMS до файлов, геолокации, журналов звонков, а также может записывать звук и делать фото с устройства.
На раннем этапе вредоносная программа распространялась через Telegram-каналы на английском и фарси (официальном языке Ирана), используя тематику, противоречащую официальной позиции иранского режима. Основной упор делался на предложения VPN-сервисов, что делало её особенно привлекательной для тех, кто ищет обход интернет-цензуры.
Среди маскирующихся приложений числятся Earth VPN, Comodo VPN и Hide VPN. Некоторые APK-файлы имели названия вроде «starlink_vpn(1.3.0)-3012 (1).apk», что говорит о целенаправленном использовании популярности Starlink. Интересно, что спутниковый интернет этой компании был активирован в Иране как раз в период ограничений на доступ в сеть, однако спустя несколько недель парламент страны принял закон, запрещающий его использование.
DCHSpy представляет собой модульный троян, позволяющий с высокой точностью следить за активностью на заражённом устройстве. Он также использует ту же инфраструктуру, что и другое известное вредоносное ПО — SandStrike, которое ранее также распространялось через поддельные VPN-приложения и нацеливалось на персоязычных пользователей.
DCHSpy продвигается через вредоносные ссылки, отправляемые напрямую в мессенджерах, в том числе в Telegram. Такой подход позволяет точно нацеливаться на нужные группы, не вызывая подозрений у большинства пользователей.
