پژوهشگران امنیت سایبری نمونههای جدیدی از جاسوسافزارهای اندرویدی کشف کردهاند که به احتمال زیاد با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط هستند و با جعل هویت به عنوان اپلیکیشنهای VPN و استارلینک – سرویس اینترنت ماهوارهای شرکت اسپیساکس – به اهداف مورد نظر ارسال شدهاند.
شرکت امنیت موبایل Lookout اعلام کرده است که چهار نمونه از یک ابزار نظارتی که آن را با نام DCHSpy شناسایی میکند، یک هفته پس از آغاز درگیری بین ایران و اسرائیل در ماه گذشته کشف کرده است. هنوز مشخص نیست که چه تعداد از افراد این اپلیکیشنها را نصب کردهاند.
اسلاماوغلو آلمدار و جاستین آلبرشت، پژوهشگران امنیتی، گفتند: «DCHSpy دادههای واتساپ، حسابها، مخاطبین، پیامکها، فایلها، موقعیت مکانی و گزارش تماسها را جمعآوری میکند و همچنین قادر است صدا ضبط کرده و عکس بگیرد.»
جاسوسافزار DCHSpy که نخستین بار در ژوئیه ۲۰۲۴ شناسایی شد، به احتمال زیاد ساختهی گروه هکری ایرانی MuddyWater است که با وزارت اطلاعات ایران (MOIS) مرتبط است. این گروه هکری با نامهای دیگری نیز شناخته میشود، از جمله: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که پیشتر Mercury نامیده میشد)، Seedworm، Static Kitten، TA450 و Yellow Nix.
نسخههای اولیه DCHSpy از طریق کانالهای تلگرام، با هدف قرار دادن کاربران انگلیسیزبان و فارسیزبان و با استفاده از مضامینی مخالف با نظام جمهوری اسلامی ایران منتشر شدهاند. با توجه به استفاده از اپلیکیشنهای VPN به عنوان طعمه برای تبلیغ این بدافزار، به احتمال زیاد افراد ناراضی، فعالان مدنی و روزنامهنگاران از اهداف اصلی این عملیات هستند.
گمان میرود نسخههای جدیدتر DCHSpy که بهتازگی شناسایی شدهاند، در پی درگیریهای اخیر منطقه، علیه دشمنان و مخالفان بهکار گرفته شدهاند و با ظاهری فریبنده بهعنوان خدمات مفید مانند Earth VPN (با شناسه بستهی "com.earth.earth_vpn")، Comodo VPN ("com.comodoapp.comodovpn") و Hide VPN ("com.hv.hide_vpn") توزیع میشوند.