Siber güvenlik araştırmacıları, İran İstihbarat ve Güvenlik Bakanlığı’na (MOI) bağlı olan ve SpaceX tarafından sunulan bir uydu internet bağlantı hizmeti olan VPN uygulamaları ve Starlink olarak maskelenerek hedeflere dağıtılan yeni Android casus yazılım eserlerini ortaya çıkardılar.
Mobil Güvenlik Satıcı Lookout, izlediği bir gözetim yazılımı aracının dört örneğini keşfettiğini söyledi. Dchspy Geçen ay İsrail-İran çatışmasının başlangıcından bir hafta sonra. Bu uygulamaları tam olarak kaç kişi yüklemiş olabilir.
Güvenlik Araştırmacıları Alemdar Islamoglu ve Justin Albrecht, “DCHSPY, WhatsApp verilerini, hesaplarını, kişileri, SMS’yi, dosyalarını, konumları ve çağrı günlüklerini toplar ve ses kaydedebilir ve fotoğraf çekebilir.” Dedi.
İlk olarak Temmuz 2024’te tespit edilen Dchspy, MOIS’e bağlı bir İran ulus devlet grubu olan Muddywater’ın el işi olarak değerlendirildi. Hacking ekibine Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (eski adıyla Merkür), tohum kurdu, statik yavru kedi, TA450 ve Sarı Nix olarak da adlandırılır.
DCHSPY’nin erken tekrarları, İran rejimine karşı çalışan temaları kullanarak telgraf kanalları aracılığıyla İngilizce ve farsi hoparlörleri hedefleyen tanımlanmıştır. Kötü amaçlı yazılımın reklamını yapmak için VPN lures kullanımı göz önüne alındığında, muhaliflerin, aktivistlerin ve gazetecilerin etkinliğin bir hedefi olması muhtemeldir.
Yeni tanımlanan DCHSPY varyantlarının, bölgedeki son çatışmaların ardından rakiplere karşı, Earth VPN (“com.earth.earth_vpn”), comodo vpn (“com.comodoapp.comodovpn”) ve gizleme gibi görünüşte yararlı hizmetler olarak konuşlandırıldığından şüpheleniliyor.
İlginç bir şekilde, Earth VPN uygulama örneklerinden birinin, “StarLink_VPN (1.3.0) -3012 (1) .APK” adı kullanılarak APK dosyaları şeklinde dağıtıldığı bulunmuştur.
Starlink’in uydu internet hizmetinin aktif Geçen ay İran’da hükümet tarafından dayatılan bir internet karartması arasında. Ancak, haftalar sonra, ülkenin parlamentosu yetkisiz operasyonlar üzerindeki kullanımını yasakladı.
Modüler Truva atı DCHSPY, cihaza oturum açan hesap, kişiler, SMS mesajları, çağrı günlükleri, dosyalar, konum, ortam sesi, fotoğraf ve WhatsApp bilgileri de dahil olmak üzere çok çeşitli veri aralığı toplamak için donanımlıdır.
DCHSPY ayrıca, Kasım 2022’de Kaspersky tarafından Farsça konuşan bireyleri görünüşte zararsız VPN uygulamaları olarak hedefleyerek işaretleyen Sandstrike olarak bilinen başka bir Android kötü amaçlı yazılımla paylaşıyor.
DCHSPY’nin keşfi, Orta Doğu’daki bireyleri ve varlıkları hedeflemek için kullanılan Android casus yazılımlarının son örneğidir. Belgelenmiş diğer kötü amaçlı yazılım suşları arasında Aridspy, Bouldspy, Guardzoo, Ratmilad ve Spynote bulunmaktadır.
“Dchspy, Sandstrike ile benzer taktikler ve altyapı kullanıyor.” Dedi. “Telegram gibi doğrudan mesajlaşma uygulamaları üzerinde paylaşılan kötü amaçlı URL’lerden yararlanarak hedeflenen gruplara ve bireylere dağıtılır.”
Diyerek şöyle devam etti: “Bu en son DCHSPY örnekleri, özellikle İran İsrail ile ateşkesin ardından vatandaşlarına çarparken, Orta Doğu’daki durum geliştikçe, gözetim yazılımının sürekli gelişimini ve kullanımını gösteriyor.”