Eronga oid DCHSpy Android zararli dasturi dissidentlarga qarshi josuslik qilish uchun VPN ilovalari sifatida niqoblanmoqda
1
22
0
Kiberxavfsizlik tadqiqotchilari Eron Josuslik va Xavfsizlik Vazirligi (MOIS) bilan bog‘liq bo‘lishi mumkin bo‘lgan yangi Android josuslik dasturlari artefaktlarini aniqladilar. Ushbu dasturlar VPN ilovalari va SpaceX tomonidan taqdim etiladigan Starlink sun’iy yo‘ldosh internet ulanish xizmati sifatida niqoblanib, nishonlarga tarqatilgan.
Lookout mobil xavfsizlik kompaniyasi, o‘tgan oy Eron-Isroil mojarosi boshlanganidan bir hafta o‘tib, DCHSpy deb nomlanuvchi kuzatuv dasturining to‘rtta namunasini topdi. Ushbu ilovalarni qancha odam o‘rnatgan bo‘lishi mumkinligi aniq emas.
“DCHSpy WhatsApp ma’lumotlari, hisoblar, kontaktlar, SMS, fayllar, joylashuv va qo‘ng‘iroqlar qaydlarini yig‘adi, shuningdek, audio yozib olishi va suratga olishi mumkin,” deydi xavfsizlik tadqiqotchilari Alemdar Islamoglu va Justin Albrecht.
2024-yil iyul oyida ilk bor aniqlangan DCHSpy, Eronning MOIS bilan bog‘liq MuddyWater davlat guruhining ishi sifatida baholanmoqda. Ushbu hakerlar guruhi Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (avvalgi Mercury), Seedworm, Static Kitten, TA450 va Yellow Nix nomlari bilan ham tanilgan.
DCHSpyning dastlabki talqinlari ingliz va fors tillarida so‘zlashuvchilarni Telegram kanallari orqali nishonga olgan, bu kanallar Eron rejimiga qarshi mavzularni qamrab olgan. Zararli dasturni reklama qilishda VPN niqoblari ishlatilganligi sababli, dissidentlar, faollar va jurnalistlar ushbu faoliyatning nishoni bo‘lishi ehtimoli yuqori.
Yaqinda aniqlangan DCHSpy variantlari mintaqadagi so‘nggi mojarodan keyin dushmanlarga qarshi qo‘llanilayotgani taxmin qilinmoqda. Ular foydali xizmatlar sifatida ko‘rinishga ega bo‘lgan Earth VPN ("com.earth.earth_vpn"), Comodo VPN ("com.comodoapp.comodovpn") va Hide VPN ("com.hv.hide_vpn") kabi ilovalar sifatida tarqatilmoqda.
Qizig‘i shundaki, Earth VPN ilovasi namunalaridan biri “starlink_vpn(1.3.0)-3012 (1).apk” nomi bilan APK fayllari shaklida tarqatilgani aniqlangan, bu zararli dastur Starlink bilan bog‘liq jozibalar yordamida nishonlarga yoyilayotganini ko‘rsatadi.
Ta’kidlash joizki, Starlink sun’iy yo‘ldosh internet xizmati o‘tgan oy Eron hukumati tomonidan internetni o‘chirish paytida faollashtirilgan edi. Ammo bir necha hafta o‘tib, mamlakat parlamenti ruxsatsiz faoliyat yuritish sababli uning foydalanilishini taqiqlash uchun ovoz berdi.
Modulli troyan sifatida DCHSpy qurilmadagi kirilgan hisoblar, kontaktlar, SMS xabarlar, qo‘ng‘iroqlar qaydlari, fayllar, joylashuv, atrof-muhit audiosi, fotosuratlar va WhatsApp ma’lumotlari kabi keng ko‘lamli ma’lumotlarni yig‘ish imkoniyatiga ega.
DCHSpy, shuningdek, Kaspersky tomonidan 2022-yil noyabr oyida fors tilida so‘zlashuvchilarni nishonga olgan va zararsiz VPN ilovalari sifatida ko‘rinishga ega bo‘lgan SandStrike deb nomlanuvchi boshqa Android zararli dasturi bilan o‘z infratuzilmasini baham ko‘radi.
DCHSpy’ning aniqlanishi Yaqin Sharqdagi shaxslar va tashkilotlarni nishonga olish uchun ishlatilgan Android josuslik dasturlarining so‘nggi misolidir. Boshqa hujjatlashtirilgan zararli dasturlar qatoriga AridSpy, BouldSpy, GuardZoo, RatMilad va SpyNote kiradi.
“DCHSpy SandStrike bilan o‘xshash taktika va infratuzilmadan foydalanadi,” dedi Lookout. “U Telegram kabi xabar almashish ilovalari orqali to‘g‘ridan-to‘g‘ri ulashilgan zararli URL manzillar orqali maqsadli guruhlar va shaxslarga tarqatiladi.”
“DCHSpyning eng so‘nggi namunalari Yaqin Sharqdagi vaziyat rivojlanishi, ayniqsa Isroilning Eron bilan sulhdan keyin o‘z josuslarini Eronda ko‘paytirayotgani fonida kuzatuv dasturining doimiy rivojlanishi va qo‘llanilishini ko‘rsatadi.”
