تنكرات DCHSPY Android المرتبطة بنظام Android Marquerades كتطبيقات VPN للتجسس على المنشقين
اكتشف الباحثون في الأمن السيبراني القطع الأثرية الجديدة لبرامج التجسس التي تعمل بنظام Android والتي من المحتمل أن تكون تابعة لوزارة الاستخبارات والأمن الإيراني (MOIS) وتم توزيعها على الأهداف عن طريق التنكر كتطبيقات VPN و Starlink ، وهي خدمة اتصال عبر الإنترنت من قبل SpaceX.
قالت Lookout بائع أمان الهاتف المحمول إنها اكتشفت أربع عينات من أداة مراقبة الأدوات التي تتتبعها dchspy بعد أسبوع واحد من بداية صراع إسرائيل إيران الشهر الماضي. بالضبط عدد الأشخاص الذين قد يقومون بتثبيت هذه التطبيقات غير واضح.
“DCHSPY يجمع بيانات WhatsApp ، والحسابات ، وجهات الاتصال ، والرسائل القصيرة ، والملفات ، والموقع ، وسجلات المكالمات ، ويمكنها تسجيل الصوت والتقاط الصور” قال.
تم اكتشاف DCHSPY لأول مرة في يوليو 2024 ، يتم تقييم DCHSPY ليكون العمل اليدوي لـ Muddywater ، وهي مجموعة الدولة القومية الإيرانية مرتبطة بـ MOIS. ويطلق على طاقم القرصنة أيضًا اسم Boggy Serpens ، و Cobalt Ulster ، و Earth Vetala ، و ITG17 ، و Mango Sandstorm (سابقًا الزئبق) ، ودودة البذور ، والقطط الثابت ، و Ta450 ، و Nix الأصفر.
تم تحديد التكرارات المبكرة لـ DCHSPY التي تستهدف مكبرات الصوت باللغة الإنجليزية والفارسية عبر قنوات Telegram باستخدام موضوعات تتعارض مع النظام الإيراني. نظرًا لاستخدام السحر VPN للإعلان عن البرامج الضارة ، فمن المحتمل أن يكون المنشقين والناشطين والصحفيين هدفًا للنشاط.
يشتبه في أن المتغيرات التي تم تحديدها حديثًا تم نشرها ضد الخصوم في أعقاب الصراع الأخير في المنطقة من خلال تمريرها كخدمات مفيدة على ما يبدو مثل VPN Earth (“com.earth.earth_vpn”) ، و Comodo VPN (“com.comdoapp.comdovpn”) ، و Hids VPN (“
ومن المثير للاهتمام ، كانت إحدى عينات تطبيقات VPN Earth وجد ليتم توزيعها في شكل ملفات APK باستخدام اسم “starlink_vpn (1.3.0) -3012 (1) .APK ،” تشير إلى أن البرامج الضارة من المحتمل أن تنتشر إلى الأهداف باستخدام السحر المرتبط بـ Starlink.
تجدر الإشارة إلى أن خدمة الإنترنت القمر الصناعية من Starlink كانت المنشط في إيران الشهر الماضي وسط تعتيم إنترنت فرضه الحكومة. ولكن بعد أسابيع ، البرلمان في البلاد صوت ل خارج عن القانون استخدامها على العمليات غير المصرح بها.
تم تجهيز DCHSPY من طروادة وحدات ، لتجهيز مجموعة واسعة من البيانات ، بما في ذلك الحساب الموقّع للجهاز ، وجهات الاتصال ، ورسائل الرسائل القصيرة ، وسجلات المكالمات ، والملفات ، والموقع ، والصوت المحيط ، والصور ، ومعلومات WhatsApp.
تشارك DCHSPY أيضًا في البنية التحتية مع برامج ضارة أخرى Android المعروفة باسم Sandstrike ، والتي تم وضع علامة عليها من قبل Kaspersky في نوفمبر 2022 على أنها تستهدف الأفراد الناطقين بالفارسية من خلال طرح تطبيقات VPN غير ضارة على ما يبدو.
اكتشاف DCHSPY هو أحدث مثيل لبرامج التجسس Android التي تم استخدامها لاستهداف الأفراد والكيانات في الشرق الأوسط. وتشمل سلالات البرامج الضارة الموثقة الأخرى Aridspy و Bouldspy و Guardzoo و Ratmilad و Spynote.
وقال لوكوت: “يستخدم Dchspy تكتيكات مماثلة وبنية تحتية مثل Sandstrike”. “يتم توزيعها على المجموعات المستهدفة والأفراد عن طريق الاستفادة من عناوين URL الضارة المشتركة مباشرة على تطبيقات المراسلة مثل Telegram.”
“تشير هذه العينات الأخيرة من DCHSPY إلى الاستمرار في التطور واستخدام أدوات المراقبة مع تطور الوضع في الشرق الأوسط ، خاصة وأن إيران تتصدع على مواطنيها بعد وقف إطلاق النار مع إسرائيل.”
