Поделиться
Хакеры распространяют шпионское ПО под видом средства подключения к Starlink
Новые шпионские программы под Android напоминают - в том числе, по методу распространения, - более ранние угрозы и, вероятно, имеют одно происхождение.
Многоименный источник
Исследователи компании Lookout выявили новые компоненты (артефакты) шпионского ПО под операционную систему Android. Эти шпионские программы выдаются за VPN-службы и средства подключения к спутниковой системе связи Starlink.
По мнению специалистов Lookout, эти программы созданы структурами, аффилированными с Министерством разведки и национальной безопасности Ирана (MOIS).
Всего исследователи обнаружили в июне четыре сэмпла шпионских программ, которым было присвоено общее название DCHSpy.
DCHSpy извлекает данные из WhatsApp, учетные записи, контакты, SMS, файлы, геолокацию и журналы вызовов, а также может записывать звук и делать фотоснимки, - утверждают сотрудники Lookout Алемдар Исламоглу (Alemdar Islamoglu) и Джастин Альбрехт (Justin Albrecht).
Впервые зафиксированные в июле 2024 г., программы DCHSpy является предположительной разработкой APT-кластера MuddyWater, связанного с MOIS. У этой группировки, однако, много наименований, поскольку чуть ли ни каждая команда исследователей назначает свой вариант: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ранее Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.
Первые версии DCHSpy распространялись среди англо- и персоязычных пользователей через Telegram-каналы с оппозиционным властям Ирана контентом. Поскольку для продвижения вредоносного ПО использовались заманчивые VPN-приложения, вероятно, в число целей входили и входят, в первую очередь, диссиденты, активисты и журналисты.
Повторение пройденного?
По новым данным, актуальные варианты DCHSpy распространяются среди противников режима после недавнего конфликта в регионе под видом полезных приложений, таких как Earth VPN (com.earth.earth_vpn), Comodo VPN (com.comodoapp.comodovpn) и Hide VPN (com.hv.hide_vpn).
Один из образцов Earth VPN распространялся в виде APK-файла с названием starlink_vpn(1.3.0)-3012 (1).apk, что указывает на то, что вредоносное ПО, вероятно, продвигается с использованием тематики Starlink.
Стоит отметить, что доступ к спутниковому интернету от Starlink в Иране был открыт в июне - на фоне государственного отключения «наземного» интернета. Однако уже спустя несколько недель законодательное собрание страны проголосовало за полный запрет на его использование - из-за «незаконной деятельности».
Модульный троян DCHSpy способен собирать широкий спектр данных. В их числе - аккаунты, вошедшие в систему, контакты,
SMS-сообщения, журналы вызовов, файлы, координаты физического местоположения. Кроме того, он может записывать фоновый звук и делать фотографии тайком от владельца.
DCHSpy использует ту же инфраструктуру, что и другое вредоносное ПО для Android - SandStrike, описанное «Лабораторией Касперского» в ноябре 2022 г. Тогда оно распространялось среди персоязычных пользователей под видом безобидных VPN-приложений.
«Методы распространения SandStrike и DCHSpy также очень сходны между собой и, скорее всего, свидетельствуют о том, что DCHSpy - это новая версия уже широко известного вредоноса», - считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ.
Эксперт добавил, что использование VPN в качестве приманки - это весьма эффективный метод.
Открытие DCHSpy стало очередным примером Android-шпионского ПО, применяемого для слежки за людьми и организациями на Ближнем Востоке. К аналогичным вредоносным программам относятся AridSpy, BouldSpy, GuardZoo, RatMilad, SpyNote и другие.
Короткая ссылка
