Iranski APT povezan sa grupom MuddyWater distribuira novu verziju Android špijunskog softvera DCHSpy u kontekstu izraelsko-iranskog sukoba, navodi bezbjednosna kompanija Lookout, specijalizovana za mobilne uređaje.
Aktivna najmanje od 2017. godine, ova hakerska grupa poznata i pod imenima Mango Sandstorm, Mercury, Seedworm i Static Kitten, poznata je po špijunskim operacijama usmjerenim na Bliski istok, a Sjedinjene Američke Države je povezuju sa iranskim Ministarstvom obavještajnih poslova i bezbjednosti (MOIS).
Samo sedmicu nakon početka izraelsko-iranskog sukoba, Lookout je identifikovao nove uzorke DCHSpy softvera, za koje se čini da su bili distribuirani protiv protivnika pod maskom VPN servisa ili bankarskih aplikacija, koristeći političke mamce.
DCHSpy, kako Lookout objašnjava u novom izvještaju, vjerovatno je razvijen i održavan od strane MuddyWater grupe u svrhu nadzora, a dijeli infrastrukturu sa SandStrike-om, još jednim Android špijunskim softverom povezanim sa istom hakerskom grupom.
Lookout je analizirao uzorak SandStrike-a koji je sadržao malicioznu VPN konfiguraciju povezanu sa infrastrukturom špijunske grupe. Uzorak je korišćen za distribuciju MuddyWater PowerShell RAT alata.
„DCHSpy koristi slične taktike i infrastrukturu kao SandStrike. Distribuira se ciljanim grupama i pojedincima pomoću lažnih URL-ova koji se dijele direktno preko aplikacija za razmjenu poruka poput Telegrama“, navodi Lookout.
Sa zaraženih uređaja, modularni malver može da prikuplja korisničke naloge, kontakte, SMS poruke, lokalne fajlove, podatke o lokaciji, listu poziva i informacije sa WhatsApp-a. Takođe može da preuzme kontrolu nad mikrofonom i kamerom kako bi snimao zvuk i fotografisao.
Prikupljene informacije se zatim kompresuju, šifruju lozinkom dobijenom od komandno-kontrolnog (C&C) servera i postavljaju na SFTP server.
Uzorci DCHSpy špijunskog softvera identifikovani od početka izraelsko-iranskog sukoba distribuisani su pod imenima Earth VPN, Comodo VPN, Hide VPN i Hazrat Eshq, oglašavani preko različitih Telegram kanala korisnicima koji govore engleski i farsi, koristeći anti-iranske poruke i retoriku.
Jedan od Earth VPN uzoraka distribuiran je korišćenjem Starlink mamaca, vjerovatno oslanjajući se na „nedavne izvještaje da Starlink nudi internet usluge iranskom stanovništvu tokom prekida interneta koji je nametnula iranska vlada nakon neprijateljstava između Izraela i Irana“, navodi Lookout.
Do sada je bezbjednosna firma identifikovala 17 porodica mobilnog malvera koje je koristilo najmanje 10 iranskih APT grupa u nadzornim napadima na korisnike mobilnih telefona.
„Ovi najnoviji uzorci DCHSpy špijunskog softvera ukazuju na nastavak razvoja i upotrebe ovog nadzornog softvera kako se situacija na Bliskom istoku razvija, naročito kako Iran pojačava represiju nad svojim građanima nakon primirja sa Izraelom“, zaključuje Lookout.
Izvor: SecurityWeek
