Ваш VPN от Starlink? Проверьте — может это иранский шпион DCHSpy
NewsMakerКак известный миллиардер случайно стал «совладельцем» нового шпионского ПО?
На фоне напряжённости между Ираном и Израилем ИБ-специалисты из компании Lookout выявили новый Android-шпион под названием DCHSpy, который связывают с иранским Министерством разведки и безопасности (MOIS). Данное программное обеспечение распространяется под видом легальных VPN-сервисов и даже использует в качестве приманки бренд Starlink, предоставляющий спутниковый интернет от SpaceX.
Исследователи обнаружили сразу четыре экземпляра вредоносной программы всего через неделю после начала конфликта. Хотя точное количество жертв не установлено, известно, что зловред охотится за пользователями, которым важна анонимность — диссидентами, журналистами и правозащитниками.
Впервые DCHSpy был замечен в июле 2024 года. По мнению исследователей, он связан с группировкой MuddyWater — хакерским подразделением, которое работает в интересах иранского правительства и известно также под именами Boggy Serpens, Cobalt Ulster, TA450, Seedworm, Static Kitten и другими. Программное обеспечение собирает обширную информацию: от данных WhatsApp, контактов и SMS до файлов, геолокации, журналов звонков, а также может записывать звук и делать фото с устройства.
На раннем этапе вредоносная программа распространялась через Telegram-каналы на английском и фарси (официальном языке Ирана), используя тематику, противоречащую официальной позиции иранского режима. Основной упор делался на предложения VPN-сервисов, что делало её особенно привлекательной для тех, кто ищет обход интернет-цензуры.
Среди маскирующихся приложений числятся Earth VPN, Comodo VPN и Hide VPN. Некоторые APK-файлы имели названия вроде «starlink_vpn(1.3.0)-3012 (1).apk», что говорит о целенаправленном использовании популярности Starlink. Интересно, что спутниковый интернет этой компании был активирован в Иране как раз в период ограничений на доступ в сеть, однако спустя несколько недель парламент страны принял закон, запрещающий его использование.
DCHSpy представляет собой модульный троян, позволяющий с высокой точностью следить за активностью на заражённом устройстве. Он также использует ту же инфраструктуру, что и другое известное вредоносное ПО — SandStrike , которое ранее также распространялось через фейковые VPN-приложения и нацеливалось на персоязычных пользователей.
DCHSpy продвигается через вредоносные ссылки, отправляемые напрямую в мессенджерах, в том числе в Telegram. Такой подход позволяет точно нацеливаться на нужные группы, не вызывая подозрений у большинства пользователей. Обнаруженные образцы свидетельствуют о том, что разработка и использование этого инструмента продолжаются и адаптируются к политическим событиям в регионе.
На фоне напряжённости между Ираном и Израилем ИБ-специалисты из компании Lookout выявили новый Android-шпион под названием DCHSpy, который связывают с иранским Министерством разведки и безопасности (MOIS). Данное программное обеспечение распространяется под видом легальных VPN-сервисов и даже использует в качестве приманки бренд Starlink, предоставляющий спутниковый интернет от SpaceX.
Исследователи обнаружили сразу четыре экземпляра вредоносной программы всего через неделю после начала конфликта. Хотя точное количество жертв не установлено, известно, что зловред охотится за пользователями, которым важна анонимность — диссидентами, журналистами и правозащитниками.
Впервые DCHSpy был замечен в июле 2024 года. По мнению исследователей, он связан с группировкой MuddyWater — хакерским подразделением, которое работает в интересах иранского правительства и известно также под именами Boggy Serpens, Cobalt Ulster, TA450, Seedworm, Static Kitten и другими. Программное обеспечение собирает обширную информацию: от данных WhatsApp, контактов и SMS до файлов, геолокации, журналов звонков, а также может записывать звук и делать фото с устройства.
На раннем этапе вредоносная программа распространялась через Telegram-каналы на английском и фарси (официальном языке Ирана), используя тематику, противоречащую официальной позиции иранского режима. Основной упор делался на предложения VPN-сервисов, что делало её особенно привлекательной для тех, кто ищет обход интернет-цензуры.
Среди маскирующихся приложений числятся Earth VPN, Comodo VPN и Hide VPN. Некоторые APK-файлы имели названия вроде «starlink_vpn(1.3.0)-3012 (1).apk», что говорит о целенаправленном использовании популярности Starlink. Интересно, что спутниковый интернет этой компании был активирован в Иране как раз в период ограничений на доступ в сеть, однако спустя несколько недель парламент страны принял закон, запрещающий его использование.
DCHSpy представляет собой модульный троян, позволяющий с высокой точностью следить за активностью на заражённом устройстве. Он также использует ту же инфраструктуру, что и другое известное вредоносное ПО — SandStrike , которое ранее также распространялось через фейковые VPN-приложения и нацеливалось на персоязычных пользователей.
DCHSpy продвигается через вредоносные ссылки, отправляемые напрямую в мессенджерах, в том числе в Telegram. Такой подход позволяет точно нацеливаться на нужные группы, не вызывая подозрений у большинства пользователей. Обнаруженные образцы свидетельствуют о том, что разработка и использование этого инструмента продолжаются и адаптируются к политическим событиям в регионе.