伊朗黑客利用安卓恶意软件 DCHSpy 伪装成 VPN,监控目标人士
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了一款新的安卓间谍软件痕迹,该软件很可能与伊朗情报与安全部(MOIS)有关联,并伪装成VPN应用和SpaceX提供的卫星互联网服务Starlink(星链)向目标分发。 移动安全供应商Lookout表示,在上个月以色列-伊朗冲突爆发后一周,他们发现了四个被其追踪为DCHSpy的间谍工具的样本。具体有多少人可能安装了这些应用尚不清楚。 安全研究人员Alemdar Islamoglu和Justin Albrecht表示:“DCHSpy收集WhatsApp数据、账户、联系人、短信、文件、位置和通话记录,并能录音和拍照。” DCHSpy最早于2024年7月被发现,被评估为与MOIS有关的伊朗国家背景黑客组织MuddyWater所为。该黑客团伙还被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm(原Mercury)、Seedworm、Static Kitten、TA450和Yellow Nix。 早期的DCHSpy版本已被发现通过Telegram渠道,利用反对伊朗政权主题的内容,针对英语和波斯语用户。鉴于使用VPN作为诱饵来宣传该恶意软件,异议人士、活动人士和记者很可能是该活动的目标。 据推测,新发现的DCHSpy变种正在针对该地区最近冲突中的对手进行部署,手段是将其伪装成看似有用的服务,如Earth VPN(“com.earth.earth_vpn”)、Comodo VPN(“com.comodoapp.comodovpn”)和Hide VPN(“com.hv.hide_vpn”)。 有趣的是,一个Earth VPN应用样本被发现以“starlink_vpn(1.3.0)-3012 (1).apk”名称的APK文件形式分发,这表明该恶意软件很可能利用与星链相关的诱饵传播给目标。 值得注意的是,星链的卫星互联网服务于上月在伊朗政府实施网络封锁期间被激活。但几周后,该国议会投票决定将其未经授权的使用定为非法。 作为一个模块化木马,DCHSpy配备了多种数据收集功能,包括设备登录账户、联系人、短信消息、通话记录、文件、位置、环境录音、照片和WhatsApp信息。 DCHSpy还与其他名为SandStrike的安卓恶意软件共享基础设施。卡巴斯基于2022年11月标记出SandStrike,该恶意软件伪装成看似无害的VPN应用针对波斯语个体。 DCHSpy的发现是安卓间谍软件被用于针对中东地区个人和实体的最新案例。其他有记录的恶意软件家族包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。 Lookout表示:“DCHSpy使用与SandStrike相似的战术和基础设施。它通过Telegram等即时通讯应用直接共享恶意链接,分发给目标群体和个人。” “这些最新的DCHSpy样本表明,随着中东局势的演变,尤其是伊朗在达成与以色列的停火后加强对本国公民的管控,该间谍工具在持续开发和利用。” 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文