Una nueva variante sofisticada de DCHSPY Android Surveylanceware, desplegada por el grupo de ciber espionaje iraní Muddywater solo una semana después de crecer tensiones en el conflicto de Israel-Irán.
Esta herramienta maliciosa representa una evolución significativa en las capacidades de vigilancia móvil, atacando datos de comunicaciones confidenciales y aprovechando los eventos geopolíticos actuales para engañar a las víctimas.
Control de llave
1.
2. Roba WhatsApp, llamadas, SMS, contactos, datos de ubicación y registra audio/fotos.
3. Extienda a través de aplicaciones VPN falsas de StarLink en Telegram dirigidos a disidentes.
DCHSPY: la amenaza móvil en evolución de Muddywater
Estar atento informes Que la familia de malware DCHSPY ha sido atribuida a Muddywater, un grupo avanzado de amenaza persistente (APT) que se cree que está afiliada al Ministerio de Inteligencia y Seguridad de Irán (MOI).
Esta organización de espionaje cibernético ha dirigido históricamente a diversas entidades gubernamentales y privadas en sectores de telecomunicaciones, gobierno local, defensa y petróleo que abarcan el Medio Oriente, Asia, África, Europa y América del Norte.
El momento de estas nuevas muestras de DCHSPY es particularmente significativa, que emerge aproximadamente una semana después de los ataques iniciales de Israel sobre la infraestructura nuclear iraní.
El malware demuestra un desarrollo continuo y sofisticación, lo que indica una inversión sostenida por parte de actores patrocinados por el estado en capacidades de vigilancia móvil.
El análisis técnico revela que DCHSPY comparte infraestructura con otro malware Android conocido como Sandstrike, que anteriormente atacaba a los profesionales de Baháʼí.
Los investigadores descubrieron que las direcciones IP de comando y control (C2) se reutilizaron en múltiples familias de malware, estableciendo vínculos operativos claros entre campañas.
Capacidades avanzadas de exfiltración de datos
DCHSPY opera como una plataforma de vigilancia modular con capacidades integrales de recopilación de datos.
El malware cosecha sistemáticamente las cuentas registradas en dispositivos infectados, contactos, mensajes SMS, archivos almacenados localmente, datos de ubicación precisos y registros de llamadas completos.
Lo más importante es que puede grabar audio agarrando el control de los micrófonos del dispositivo y capturar fotos a través de la manipulación de la cámara.
Las últimas variantes demuestran capacidades mejoradas de extracción de datos de WhatsApp, que representan una evolución significativa de las versiones anteriores.
Una vez recopilados, los datos confidenciales sufre compresión y cifrado utilizando contraseñas recibidas directamente de los servidores C2.
La carga útil cifrada se transmite a los servidores del Protocolo de transferencia de archivos seguro de destino (SFTP), asegurando la exfiltración segura mientras evade la detección.
Una muestra analizada con SHA1 hash 9Dec46D71289710CD09582D84017718E0547F438 se distribuyó con el nombre de archivo APK Starlink_VPN (1.3.0) -3012 (1) .APK, que indica convenciones sofisticadas diseñadas para parecer legitimadas.
Muddywater emplea tácticas de ingeniería social centradas en eventos políticos oportunos y servicios esenciales.
El grupo distribuye aplicaciones maliciosas a través de canales de telegrama, disfrazando a DCHSPY como servicios de VPN legítimos, incluidos EarthVPN y Comodovpn.
La página VPN falsa llega a periodistas
Estas páginas de distribución cuentan con temas y lenguajes atractivos para los hablantes de inglés y farsi con opiniones contrarias al régimen iraní.
La incorporación de señuelos temáticos de Starlink parece estratégicamente programado, coincidiendo con los informes de StarLink que ofrecen servicios de Internet a los ciudadanos iraníes durante las interrupciones de Internet impuestas por el gobierno después de las hostilidades de Israel-Irán.
Esto demuestra cómo los actores de amenaza explotan las crisis humanitarias y la conectividad deben entregar herramientas de vigilancia a poblaciones específicas, particularmente activistas y periodistas que operan en entornos restrictivos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
