与伊朗有关的 DCHSpy Android 恶意软件伪装成 VPN 应用,用于监视异见人士
研究人员发现名为 DCHSpy 的新型 Android 间谍软件,疑与伊朗情报机构有关。该软件伪装成 VPN 和 Starlink 应用,通过 Telegram 等渠道传播,窃取用户的联系人、通话记录、短信、定位、音频等隐私信息。DCHSpy 被用于监控异见人士,目标集中在中东地区,显示出政局紧张背景下数字监控工具的升级趋势。安全公司警告用户谨慎安装未知来源应用。
网络安全研究人员发现了新的 Android 间谍软件,这些软件可能与伊朗情报和安全部 (MOIS) 有关,并通过伪装成 VPN 应用程序和 Starlink(SpaceX 提供的卫星互联网连接服务)分发给目标。
移动安全供应商Lookout表示,上个月以伊冲突爆发一周后,该公司发现了四个被追踪为DCHSpy的监控软件样本。目前尚不清楚究竟有多少人安装了这些应用程序。
安全研究人员 Alemdar Islamoglu 和 Justin Albrecht表示:“DCHSpy 收集 WhatsApp 数据、账户、联系人、短信、文件、位置和通话记录,还可以录制音频和拍照。”
网络安全
DCHSpy 于 2024 年 7 月首次被发现,据评估为与伊朗情报和情报部(MOIS)有关联的伊朗民族国家组织MuddyWater所为。该黑客组织还被称为 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm(前身为 Mercury)、Seedworm、Static Kitten、TA450 和 Yellow Nix。
早期版本的 DCHSPy 已被确认通过 Telegram 频道针对英语和波斯语使用者发动攻击,其主题与伊朗政权相悖。鉴于该恶意软件使用 VPN 诱饵进行宣传,异见人士、活动人士和记者很可能是该活动的目标。
据称,在该地区最近的冲突之后,新发现的 DCHSpy 变种被用来对付对手,通过将其伪装成看似有用的服务,如 Earth VPN(“com.earth.earth_vpn”)、Comodo VPN(“com.comodoapp.comodovpn”)和 Hide VPN(“com.hv.hide_vpn”)。
有趣的是,其中一个 Earth VPN 应用程序样本被发现以 APK 文件的形式分发,使用名称“starlink_vpn(1.3.0)-3012 (1).apk”,这表明该恶意软件很可能使用与 Starlink 相关的诱饵传播到目标。
值得注意的是,Starlink 卫星互联网服务上个月在伊朗政府强制实施互联网断网期间正式启用。但几周后,伊朗议会投票禁止未经授权的运营。
DCHSpy 是一种模块化木马,可以收集各种数据,包括登录设备的帐户、联系人、短信、通话记录、文件、位置、环境音频、照片和 WhatsApp 信息。
DCHSpy 还与另一款名为SandStrike的 Android 恶意软件共享基础设施,卡巴斯基于 2022 年 11 月标记该恶意软件通过伪装成看似无害的 VPN 应用程序来针对波斯语人士进行攻击。
网络安全
DCHSpy 的发现是最新一起安卓间谍软件案例,该软件曾被用于针对中东地区的个人和实体。其他已记录的恶意软件包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。
Lookout 表示:“DCHSpy 使用的策略和基础设施与 SandStrike 类似。它利用 Telegram 等即时通讯应用上直接分享的恶意 URL,将恶意软件分发给目标群体和个人。”
“这些最新的 DCHSpy 样本表明,随着中东局势的发展,尤其是在伊朗与以色列停火后对其公民进行镇压的情况下,监控软件仍在继续开发和使用。”
移动安全供应商Lookout表示,上个月以伊冲突爆发一周后,该公司发现了四个被追踪为DCHSpy的监控软件样本。目前尚不清楚究竟有多少人安装了这些应用程序。
安全研究人员 Alemdar Islamoglu 和 Justin Albrecht表示:“DCHSpy 收集 WhatsApp 数据、账户、联系人、短信、文件、位置和通话记录,还可以录制音频和拍照。”
网络安全
DCHSpy 于 2024 年 7 月首次被发现,据评估为与伊朗情报和情报部(MOIS)有关联的伊朗民族国家组织MuddyWater所为。该黑客组织还被称为 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm(前身为 Mercury)、Seedworm、Static Kitten、TA450 和 Yellow Nix。
早期版本的 DCHSPy 已被确认通过 Telegram 频道针对英语和波斯语使用者发动攻击,其主题与伊朗政权相悖。鉴于该恶意软件使用 VPN 诱饵进行宣传,异见人士、活动人士和记者很可能是该活动的目标。
据称,在该地区最近的冲突之后,新发现的 DCHSpy 变种被用来对付对手,通过将其伪装成看似有用的服务,如 Earth VPN(“com.earth.earth_vpn”)、Comodo VPN(“com.comodoapp.comodovpn”)和 Hide VPN(“com.hv.hide_vpn”)。
有趣的是,其中一个 Earth VPN 应用程序样本被发现以 APK 文件的形式分发,使用名称“starlink_vpn(1.3.0)-3012 (1).apk”,这表明该恶意软件很可能使用与 Starlink 相关的诱饵传播到目标。
值得注意的是,Starlink 卫星互联网服务上个月在伊朗政府强制实施互联网断网期间正式启用。但几周后,伊朗议会投票禁止未经授权的运营。
DCHSpy 是一种模块化木马,可以收集各种数据,包括登录设备的帐户、联系人、短信、通话记录、文件、位置、环境音频、照片和 WhatsApp 信息。
DCHSpy 还与另一款名为SandStrike的 Android 恶意软件共享基础设施,卡巴斯基于 2022 年 11 月标记该恶意软件通过伪装成看似无害的 VPN 应用程序来针对波斯语人士进行攻击。
网络安全
DCHSpy 的发现是最新一起安卓间谍软件案例,该软件曾被用于针对中东地区的个人和实体。其他已记录的恶意软件包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。
Lookout 表示:“DCHSpy 使用的策略和基础设施与 SandStrike 类似。它利用 Telegram 等即时通讯应用上直接分享的恶意 URL,将恶意软件分发给目标群体和个人。”
“这些最新的 DCHSpy 样本表明,随着中东局势的发展,尤其是在伊朗与以色列停火后对其公民进行镇压的情况下,监控软件仍在继续开发和使用。”
关于作者
评论0次