Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware DCHSpy Mobile Malware

DCHSpy Mobile Malware

Von Mezo in Mobile Malware, Spyware
Übersetzen Sie in:

Cybersicherheitsforscher haben kürzlich eine neue Welle von Android-Spyware-Artefakten entdeckt, die vermutlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung stehen. Die als DCHSpy bekannte Spyware verbreitet sich getarnt als legitime VPN-Dienste und sogar als Starlink, der von SpaceX betriebene Satelliten-Internetdienst. Diese Kampagne fällt mit den verschärften Spannungen nach dem Israel-Iran-Konflikt im Juni 2025 zusammen.

Die Entstehung von DCHSpy

Forscher entdeckten DCHSpy erstmals im Juli 2024. Das Tool wird MuddyWater zugeschrieben, einer staatlich unterstützten iranischen Hackergruppe, die unter verschiedenen Decknamen operiert, darunter Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ehemals Mercury), Seedworm, Static Kitten, TA450 und Yellow Nix.

Frühe Versionen von DCHSpy zielten über Telegram-Kanäle auf Englisch- und Farsi-Sprecher ab und verwendeten dabei kritische Themen zum iranischen Regime. Die Angreifer konzentrierten sich vor allem auf Dissidenten, Journalisten und Aktivisten, indem sie diese mit scheinbar vertrauenswürdigen VPN-Diensten lockten.

Technische Möglichkeiten von DCHSpy

DCHSpy ist ein modularer Trojaner, der sensible Daten von infizierten Geräten abgreift. Zu seinen Funktionen gehören:

  • Sammeln von WhatsApp-Daten, Kontakten, SMS-Nachrichten und Anrufprotokollen
  • Extrahieren der auf dem Gerät angemeldeten Konten
  • Zugriff auf Dateien und Standortdaten
  • Aufnehmen von Umgebungsgeräuschen und Aufnehmen von Fotos

Die Schadsoftware ist außerdem in der Lage, das Opfer dauerhaft zu überwachen und das kompromittierte Gerät so effektiv in ein Spionagetool zu verwandeln.

Irreführende Vertriebstaktiken

Die neuesten DCHSpy-Varianten werden unter dem Deckmantel beliebter VPN-Dienste verbreitet, darunter:

  • Earth VPN (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • VPN ausblenden (com.hv.hide_vpn)

Ein bemerkenswertes Beispiel ist das Earth VPN-Beispiel, das als APK mit dem Namen „starlink_vpn(1.3.0)-3012 (1).apk“ im Umlauf war, was darauf hindeutet, dass Angreifer Starlink-bezogene Themen als Köder verwenden.

Der Zeitpunkt ist strategisch günstig, da der Internetdienst von Starlink im Juni 2025 während eines von der Regierung verhängten Internet-Blackouts im Iran eingeführt wurde. Der Dienst wurde jedoch Wochen später vom iranischen Parlament aufgrund nicht autorisierter Operationen verboten, was ihn zu einem attraktiven Köder für Personen machte, die uneingeschränkte Konnektivität suchten.

Verbindungen zu früheren Kampagnen

DCHSpy nutzt die gleiche Infrastruktur wie SandStrike, eine weitere Android-Spyware, die im November 2022 gemeldet wurde, weil sie persischsprachige Nutzer über gefälschte VPN-Anwendungen angreift. Wie SandStrike wird DCHSpy über schädliche URLs verbreitet, die direkt über Messaging-Apps wie Telegram geteilt werden.

Diese neue Entdeckung fügt DCHSpy einer wachsenden Liste von Spyware-Kampagnen hinzu, die auf Ziele im Nahen Osten abzielen und zu der bereits AridSpy, BouldSpy, GuardZoo, RatMilad und SpyNote gehören.

Eskalation regionaler Konflikte

Das Wiederaufleben von DCHSpy spiegelt die anhaltenden Investitionen in Spionageoperationen durch vom Iran unterstützte Akteure wider. Sein Einsatz steht im Einklang mit den Bemühungen des Iran, die Kontrolle über Informationen zu verstärken und Dissidenten zu überwachen, insbesondere nach dem jüngsten Waffenstillstand mit Israel. Die kontinuierliche Entwicklung solcher Schadsoftware unterstreicht die sich entwickelnde Natur digitaler Bedrohungen in der Region.

Im Trend

Am häufigsten gesehen

Wird geladen...