21 de junio de 2025Ravie LakshmanSpyware / Investigadores de seguridad cibernética de seguridad móvil han desenterrado nuevos artefactos de spyware de Android que probablemente estén afiliados al Ministerio de Inteligencia y Seguridad de Inteligencia Iránica (MOI) y se han distribuido a objetivos mediante la mascaramiento de aplicaciones VPN y Starlink, un servicio de conexión satélite a Internet ofrecido por el espacio. Mobile Security Proveor Lookout dijo que descubrió cuatro muestras de una herramienta de vigilancia de vigilancia que rastrea como DCHSPY una semana después del inicio del conflicto de Israel-Irán el mes pasado. No está claro cuántas personas pueden haber instalado estas aplicaciones. «DCHSPY recopila datos de WhatsApp, cuentas, contactos, SMS, archivos, ubicación y registros de llamadas, y puede grabar audio y tomar fotos», dijeron los investigadores de seguridad Alemdar Islamoglu y Justin Albrecht. Detectado por primera vez en julio de 2024, se evalúa que DCHSPY es el trabajo de Muddywater, un grupo de estado-nación iraní vinculado a Mois. El equipo de piratería también se llama Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercurio), gusano de semillas, gatito estático, TA450 y Nix amarillo. Se han identificado iteraciones tempranas de DCHSPY dirigidas a los hablantes de inglés y farsi a través de canales de telegrama que usan temas que van en contra del régimen iraní. Dado el uso de señuelos de VPN para anunciar el malware, es probable que los disidentes, activistas y periodistas sean objetivo de la actividad. Se sospecha que las variantes DCHSPY recientemente identificadas se están desplegando contra adversarios a raíz del conflicto reciente en la región al pasarlas como servicios aparentemente útiles como Earth VPN («com.earth.earth_vpn»), comodo vpn («comodoapp.comodovpn») y escondite vpn («com.hv.hide_vpn»). Curiosamente, se ha encontrado que una de las muestras de aplicaciones VPN de la Tierra se distribuye en forma de archivos APK utilizando el nombre «StarLink_VPN (1.3.0) -3012 (1) .APK», lo que indica que el malware probablemente se está propagando a objetivos utilizando filas relacionadas con StarLink. Vale la pena señalar que el servicio de Internet satelital de Starlink se activó en Irán el mes pasado en medio de un apagón de Internet impuesto por el gobierno. Pero, semanas después, el parlamento del país votó para prohibir su uso sobre las operaciones no autorizadas. Un troyano modular, DCHSPY está equipado para recopilar una amplia gama de datos, incluida la cuenta de la cuenta en el dispositivo, contactos, mensajes SMS, registros de llamadas, archivos, ubicación, audio ambiental, fotos e información de WhatsApp. DCHSPY también comparte la infraestructura con otro malware de Android conocido como Sandstrike, que fue marcado por Kaspersky en noviembre de 2022 como a las personas de habla persa haciéndose pasar por aplicaciones VPN aparentemente inofensivas. El descubrimiento de DCHSPY es la última instancia de Android Spyware que se ha utilizado para atacar a individuos y entidades en el Medio Oriente. Otras cepas de malware documentadas incluyen Aridspy, Bouldspy, Guardzoo, Ratmilad y Spynote. «DCHSPY utiliza tácticas e infraestructura similares que Sandstrike», dijo Lookout. «Se distribuye a grupos e individuos específicos al aprovechar las URL maliciosas compartidas directamente sobre aplicaciones de mensajería como Telegram». «Estas muestras más recientes de DCHSPY indican el desarrollo continuo y el uso del sur de vigilancia a medida que evoluciona la situación en el Medio Oriente, especialmente cuando Irán toma medidas enérgicas contra sus ciudadanos después del alto el fuego con Israel».