Pesquisadores de cibersegurança descobriram novos artefatos de spyware para Android que provavelmente estão afiliados ao Ministério da Inteligência e Segurança (MOIS) do Irã e foram distribuídos aos alvos se passando por apps de VPN e Starlink, um serviço de conexão à internet via satélite oferecido pela SpaceX.
A empresa de segurança móvel Lookout disse que descobriu quatro amostras de uma ferramenta de vigilância que rastreia como DCHSpy uma semana após o início do conflito entre Israel e Irã no mês passado.
Não está claro quantas pessoas podem ter instalado esses apps.
"DCHSpy coleta dados do WhatsApp, contas, contatos, SMS, arquivos, localização e registros de chamadas, e pode gravar áudio e tirar fotos", disseram os pesquisadores de segurança Alemdar Islamoglu e Justin Albrecht.
Detectado pela primeira vez em julho de 2024, o DCHSpy é avaliado como o trabalho de MuddyWater, um grupo nacional iraniano vinculado ao MOIS.
A equipe de hackers também é chamada de Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450 e Yellow Nix.
Iterações iniciais do DCHSPy foram identificadas mirando em falantes de inglês e farsi através de canais no Telegram usando temas contrários ao regime iraniano.
Dada a utilização de iscas de VPN para anunciar o malware, é provável que dissidentes, ativistas e jornalistas sejam alvos da atividade.
Suspeita-se que as variantes recém-identificadas do DCHSpy estejam sendo implantadas contra adversários no rastro do recente conflito na região, passando-os como serviços aparentemente úteis como Earth VPN ("com.earth.earth_vpn"), Comodo VPN ("com.comodoapp.comodovpn") e Hide VPN ("com.hv.hide_vpn").
Curiosamente, uma das amostras do app Earth VPN foi encontrada distribuída em forma de arquivos APK usando o nome "starlink_vpn(1.3.0)-3012 (1).apk", indicando que o malware provavelmente está sendo espalhado para os alvos usando iscas relacionadas ao Starlink.
Vale ressaltar que o serviço de internet via satélite da Starlink foi ativado no Irã no mês passado, em meio a um blackout de internet imposto pelo governo.
Mas, semanas depois, o parlamento do país votou pela proibição de seu uso devido a operações não autorizadas.
Um trojan modular, o DCHSpy está equipado para coletar uma ampla variedade de dados, incluindo contas logadas no dispositivo, contatos, mensagens SMS, registros de chamadas, arquivos, localização, áudio ambiente, fotos e informações do WhatsApp.
O DCHSpy também compartilha infraestrutura com outro malware Android conhecido como SandStrike, que foi marcado pela Kaspersky em novembro de 2022 por mirar em indivíduos falantes do persa, posando como aplicativos de VPN aparentemente inofensivos.
A descoberta do DCHSpy é o mais recente exemplo de spyware para Android que tem sido usado para visar indivíduos e entidades no Oriente Médio.
Outras cepas de malware documentadas incluem AridSpy, BouldSpy, GuardZoo, RatMilad e SpyNote.
"O DCHSpy usa táticas e infraestrutura similares ao SandStrike", disse a Lookout.
"Ele é distribuído a grupos e indivíduos alvo aproveitando URLs maliciosos compartilhados diretamente sobre apps de mensagens como o Telegram."
Essas amostras mais recentes do DCHSpy indicam o desenvolvimento contínuo e uso do software de vigilância conforme a situação no Oriente Médio evolui, especialmente à medida que o Irã intensifica a repressão aos seus cidadãos após o cessar-fogo com Israel.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...