چهار نمونه جدید از جاسوس های اندرویدی که به وزارت اطلاعات و امنیت ایران (MOIS) مرتبط است که داده های WhatsApp را جمع می کند ، صوتی و تصویری را ضبط می کند ، و شکار پرونده ها را با نام شکار می کند ، اندکی پس از شروع درگیری ایران و اسرائیل ظاهر شد.
محققان امنیتی Lookout چهار مورد جدید را مشاهده کردند بدافزار dchspy نمونه ها ، که به عنوان برنامه های VPN به نام Earth VPN و Comodo VPN مبدل شده اند ، از 23 ژوئن ، حدود یک هفته پس از اولین بار اسرائیل موشک ها در تأسیسات هسته ای ایران را آغاز کردند.
دو نفر از آنها در Virustotal ، یکی با “Starlink” ، پخش کننده اینترنت جهانی SpaceX ، به نام پرونده ، Alemdar Islamoglu ، محقق امنیتی Lookout ، بارگذاری شد. ثبت نامبشر
پیدا کردن “Starlink” در یکی از نمونه های VPN زمین (SHA-1: 9DEC46D71289710CD09582D84018E0547F438) مهم است زیرا نشان می دهد که ممکن است شیطانرهای بدافزار از فریب های Starlink استفاده کنند تا قربانیان را به بارگیری در بارگیری DCHSPY بپردازند. بنا بر گزارش های الون مس Starlink را روشن کرد برای ایرانیان بعد از تهران اینترنت را خاموش کرد خدمات اندکی پس از حمله هوایی.
اسلاموگلو گفت: “و برای بقیه ، ما بیرون رفتیم و برای آنها شکار کردیم و زیرساخت های متصل را پیدا کردیم ، برنامه های Comodo VPN را پیدا کردیم و توانستیم تعیین کنیم که اینها نیز dchspy هستند.”
اسلاموگلو نوشت: “این نمونه های اخیر DCHSPY حاکی از توسعه و استفاده از وسایل نظارتی است زیرا اوضاع در خاورمیانه تکامل می یابد ، به خصوص که ایران پس از آتش بس با اسرائیل ، شهروندان خود را کاهش می دهد.” تحقیق منتشر شده دوشنبه.
ویژگی های Lookout dchspy به Muddywater ، یک خدمه جاسوسی مرتبط با Mois ایران ، که ایالات متحده است تحریم شده در سال 2022 در پاسخ به حملات خود علیه آلبانی و سایر “فعالیتهای فعال شده در سایبری علیه ایالات متحده و متحدین آن”.
این باند از نظر تاریخی دولت و اشخاص خصوصی را در بخش های مختلف مانند ارتباطات از راه دور ، دولت محلی ، دفاع و گاز و گاز طبیعی در خاورمیانه ، آسیا ، آفریقا ، اروپا و آمریکای شمالی هدف قرار می دهد.
در حالی که محققان مواظب نمی توانند بگویند برخی از دستگاه های MOIS که سعی در آلوده کردن با ابزارهای جدید Android دارد – Telemetry از ایران بسیار محدود است – یکی از صفحات توزیع Comodo VPN که در تلگرام به زبان انگلیسی تبلیغ شده است که این سرویس “توسط فعالان و روزنامه نگاران در سراسر جهان استفاده می شود.”
اسلاموگلو گفت: “VPN یکی از فریب های بسیار متداول است که ما می بینیم به دلیل ماهیت بسته در ایران مورد استفاده قرار می گیرد”. “به طور کلی ، ما فکر می کنیم این کمپین مخالفان ایران را در داخل و خارج از ایران و همچنین فعالان و روزنامه نگاران هدف قرار می دهد.”
تحلیلگران نمی دانند که تعداد قربانیان تحت این آخرین کمپین مورد بررسی قرار می گیرند ، اما برای انجام حملات – یا حملات احتمالی – برخی از دیدگاه ها: از سال 2021 ، Lookout تنها 11 نمونه کل DCHSPY را جمع آوری کرده است. اسلاموگلو گفت: “بنابراین دیدن چهار نمونه در یک هفته یک ناهنجاری است.”
این تیم یک کانال تلگرام را برای توزیع جاسوسی مورد استفاده قرار داد ، اما خاطرنشان کرد که Muddywater همچنین بدافزارها را از طریق ایمیل های فیشینگ ، برنامه های پیام رسانی یا متون به امید اینکه قربانیان را بارگیری کنند ، نرم افزار snooping را بارگیری می کند.
محققان پس از تجزیه و تحلیل نمونه های جدید ، علاوه بر توانایی موجود بدافزارها در جمع آوری اطلاعات حساب ، مخاطبین ، پیام های پیام کوتاه ، داده های مکان ، ورود به سیستم ، گزارش تماس ، صدا و عکس ، از دو قابلیت جدید پرده برداشتند.
کد DCHSPY اخیر همچنین داده های WhatsApp قربانیان را جمع آوری می کند ، و می تواند پرونده ها و پوشه های حساس را که در دستگاه ذخیره شده اند جستجو و تبعید کنند.
کریستوف هابیزن ، مدیر تحقیقات اطلاعاتی امنیتی در Lookout ، گفت: “واتس اپ ، به طور کلی ، یک هدف آبدار برای سازمان های اطلاعاتی است زیرا از زمان رمزگذاری پایان به پایان رسیده است.” ثبت نامبشر
این رمزگذاری پایان به پایان تضمین می کند که پیام های موجود در ترانزیت قابل رمزگشایی نیستند ، بنابراین ارتباطات حساس و خصوصی را در معرض نمایش قرار می دهند. تنها راه جاسوسی برای خواندن یا گوش دادن به مکالمات WhatsApp افراد ، ربودن دستگاه ها است ، در این حالت با فریب دادن کسی در نصب جاسوسی از طریق تلفن خود ، بنابراین به آنها امکان می دهد تا قربانیان خود را بیان کنند.
هنگامی که تمام داده های مورد نظر خود را از یک دستگاه آلوده جمع آوری کرد ، Adware اطلاعات را با گذرواژه دریافت شده از سرور فرمان و کنترل ، فشرده سازی و رمزگذاری می کند و سپس پرونده های سرقت شده را در یک پروتکل انتقال فایل ایمن کنترل شده توسط مهاجم (SFTP) بارگذاری می کند. ®
