WhatsApp adatok szivárogtatása DCHSpy-al

Az iráni hírszerzési és biztonsági minisztériummal (MOIS) feltehetőleg kapcsolatban álló kiberszereplő a DCHSpy malware egy újonnan felfedezett törzsét használják az ellenfelek utáni kémkedésre. A Lookout kiberbiztonsági cég kutatói a DCHSpy legújabb változatát egy héttel azután észlelték, hogy Izrael júniusi bombázási kampánya megkezdődött Irán nukleáris programja ellen. A DCHSpy-t először 2024-ben észlelték, de azóta továbbfejlődött, és most már képes adatokat kiszivárogtatni a WhatsAppból és az eszközökön tárolt fájlokból – közölte a Lookout.

A rosszindulatú szoftver továbbá gyűjti a névjegyeket, SMS-eket, helymeghatározási adatokat és hívásnaplókat, és képes az eszközök kameráit és mikrofonjait fotók készítésére és hangfelvételek rögzítésére használni.

A Lookout szerint a rosszindulatú szoftver – amelyről úgy vélik, hogy a MuddyWater iráni kiberkémkedő csoporthoz köthető – új változatai politikai csalikra támaszkodnak, és olyan weboldalakat használnak, amelyek rosszindulatú VPN- és banki alkalmazásokhoz vezető linkeket tartalmaznak. A kampányban részt vevő egyik csali középpontjában a Starlink áll, amely az irániak számára webes hozzáférést biztosított, miután az ország kormánya az izraeli támadásokat követően internetes áramszünetet rendelt el.

A MuddyWater-ről úgy vélik a kutatók, hogy az iráni MOIS-hoz kapcsolódik. A csoport Telegram és más üzenetküldő alkalmazások csatornáin hamis URL-címek segítségével terjeszti a rosszindulatú szoftvereket, és a célpontokat egy előkészített, a rosszindulatú alkalmazásokat terjesztő weboldalra csalja az új kutatás szerint.

A csalik angol és fárszi nyelvűek, és az iráni rezsim által ellenzett témákra összpontosít. A célpontok közül sokan aktivisták és újságírók világszerte.

A kutatók megosztották a kampánnyal kapcsolatos IoC-kat.

Forrás