DCHSpy: O Malware android iraniano que espiona usuários disfarçado de VPN

Pesquisadores descobriram novos artefatos de spyware Android, provavelmente ligados ao Ministério da Inteligência e Segurança do Irã (MOIS), que têm sido distribuídos a alvos disfarçados de aplicativos de VPN e até mesmo do Starlink, o serviço de conexão via satélite da SpaceX.

A empresa de segurança móvel Lookout revelou a detecção de quatro amostras de uma ferramenta de vigilância que rastreia como DCHSpy. A descoberta ocorreu uma semana após o início do conflito entre Israel e Irã no mês passado. O número exato de pessoas que podem ter instalado esses aplicativos ainda é incerto.

"O DCHSpy coleta dados do WhatsApp, contas, contatos, SMS, arquivos, localização e registros de chamadas, além de poder gravar áudio e tirar fotos", afirmaram os pesquisadores de segurança Alemdar Islamoglu e Justin Albrecht.

Detectado pela primeira vez em julho de 2024, o DCHSpy é considerado obra do MuddyWater, um grupo hacker ligado ao MOIS. Este grupo também é conhecido por outros nomes, como Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450 e Yellow Nix.

As primeiras versões do DCHSpy foram identificadas visando falantes de inglês e farsi por meio de canais do Telegram, utilizando temas que se opõem ao regime iraniano. Dada a utilização de "iscas" de VPN para anunciar o malware, é provável que dissidentes, ativistas e jornalistas sejam os principais alvos dessa atividade.

Suspeita-se que as recém-identificadas variantes do DCHSpy estejam sendo usadas contra adversários após o recente conflito na região, apresentando-se como serviços aparentemente úteis, como Earth VPN ("com.earth.earth_vpn"), Comodo VPN ("com.comodoapp.comodovpn") e Hide VPN ("com.hv.hide_vpn").

Curiosamente, uma das amostras do aplicativo Earth VPN foi encontrada sendo distribuída em arquivos APK com o nome "starlink_vpn(1.3.0)-3012 (1).apk". Isso indica que o malware provavelmente está sendo disseminado aos alvos utilizando "iscas" relacionadas ao Starlink.

Vale ressaltar que o serviço de internet via satélite Starlink foi ativado no Irã no mês passado em meio a um blecaute de internet imposto pelo governo. No entanto, semanas depois, o parlamento do país votou para proibir seu uso devido a operações não autorizadas.

Um trojan modular, o DCHSpy é equipado para coletar uma vasta gama de dados, incluindo contas conectadas ao dispositivo, contatos, mensagens SMS, registros de chamadas, arquivos, localização, áudio ambiente, fotos e informações do WhatsApp.

O DCHSpy também compartilha infraestrutura com outro malware Android conhecido como SandStrike, que foi sinalizado pela Kaspersky em novembro de 2022 por ter como alvo indivíduos de língua persa, passando-se por aplicativos VPN inofensivos.

A descoberta do DCHSpy é o mais recente exemplo de spyware Android que tem sido usado para atacar indivíduos e entidades no Oriente Médio. Outras cepas de malware documentadas incluem AridSpy, BouldSpy, GuardZoo, RatMilad e SpyNote.

"O DCHSpy usa táticas e infraestrutura semelhantes às do SandStrike", afirmou a Lookout. "Ele é distribuído para grupos e indivíduos específicos por meio de URLs maliciosas compartilhadas diretamente em aplicativos de mensagens como o Telegram."

"Essas amostras mais recentes do DCHSpy indicam o desenvolvimento e uso contínuos do software de vigilância à medida que a situação no Oriente Médio evolui, especialmente enquanto o Irã reprime seus cidadãos após o cessar-fogo com Israel."

Via - THN