كشفت شركة Lookout المختصة بأمن الأجهزة المحمولة عن أدلة جديدة على برمجية تجسس تستهدف نظام أندرويد، يُعتقد أنها مرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS)، وتم توزيعها على الضحايا عن طريق التنكر في هيئة تطبيقات VPN وخدمة ستارلينك، وهي خدمة الإنترنت الفضائي التي تقدمها شركة SpaceX.
وأشار الباحثان الأمنيان ألمدار إسلام أوغلو وجاستن ألبريخت إلى أن برمجية DCHSpy تعمل على جمع بيانات واتساب، والحسابات، وجهات الاتصال، والرسائل النصية، والملفات، والموقع الجغرافي، وسجلات المكالمات، بالإضافة إلى قدرتها على تسجيل الصوت والتقاط الصور.
تتبع ارتباط البرمجية بمجموعة MuddyWater
تم رصد DCHSpy لأول مرة في يوليو 2024، ويُعتقد أنها من تطوير مجموعة MuddyWater، وهي مجموعة تهديد إلكتروني تابعة للدولة الإيرانية ومرتبطة بوزارة الاستخبارات. وتُعرف هذه المجموعة أيضًا بأسماء أخرى مثل Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (المعروفة سابقًا باسم Mercury)، Seedworm، Static Kitten، TA450، وYellow Nix.
الإصدارات الأولى من DCHSpy استهدفت مستخدمي اللغتين الإنجليزية والفارسية عبر قنوات تيليغرام، من خلال موضوعات تُعارض النظام الإيراني. وبالنظر إلى استخدام تطبيقات VPN كطُعم، من المرجح أن تكون أهداف هذه البرمجية هم المعارضون السياسيون والنشطاء والصحفيون.
نشر البرمجية عبر ملفات APK وانتحال هوية خدمات مشروعة
أظهرت التحقيقات أن النسخ الأحدث من DCHSpy تم توزيعها تحت غطاء تطبيقات شهيرة مثل Earth VPN (معرف الحزمة: com.earth.earth_vpn)، Comodo VPN (com.comodoapp.comodovpn)، وHide VPN (com.hv.hide_vpn).
كما تم اكتشاف إحدى عينات تطبيق Earth VPN على هيئة ملف APK يحمل اسم “starlink_vpn(1.3.0)-3012 (1).apk”، ما يشير إلى استغلال خدمة ستارلينك كوسيلة لجذب الضحايا. ومن الجدير بالذكر أن خدمة الإنترنت الفضائي من Starlink كانت قد فُعّلت مؤخرًا في إيران خلال انقطاع الإنترنت الذي فرضته الحكومة، إلا أن البرلمان الإيراني صوت لاحقًا على حظر استخدامها باعتبارها غير مرخصة.
برمجية متعددة المهام بجذور مشتركة مع SandStrike
تُصنّف DCHSpy كحصان طروادة (Trojan) متعدد الوظائف، قادر على جمع طيف واسع من البيانات من الأجهزة المصابة، تشمل الحسابات المتصلة بالجهاز، وجهات الاتصال، والرسائل النصية، وسجلات المكالمات، والملفات، والموقع، والصوت المحيط، والصور، ومعلومات واتساب.
وتشارك DCHSpy بنية تحتية رقمية مشتركة مع برمجية أخرى تُعرف باسم SandStrike، والتي كانت كاسبرسكي قد حذرت منها في نوفمبر 2022، حين وُثّق استخدامها لاستهداف متحدثي الفارسية عبر تطبيقات VPN زائفة.
تكتيكات الانتشار عبر تطبيقات المراسلة
قالت شركة Lookout إن DCHSpy تستخدم نفس الأساليب والبنية التحتية التي استخدمتها SandStrike، بما في ذلك توزيع التطبيقات الخبيثة على مجموعات وأفراد مستهدفين باستخدام روابط ضارة تُرسل مباشرة عبر تطبيقات المراسلة مثل تيليغرام.
وأضافت الشركة أن “العينات الأخيرة من DCHSpy تعكس استمرار تطوير واستخدام برمجيات التجسس هذه، بالتوازي مع تطورات الوضع في الشرق الأوسط، وخاصة مع تزايد القمع في الداخل الإيراني عقب وقف إطلاق النار مع إسرائيل.”
