Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink.
DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien.
Le malware est modulaire et exfiltre des données complètes de l’appareil, y compris les comptes, les contacts, les SMS, les fichiers, les journaux d’appels, les données WhatsApp, et effectue la capture audio/photo. Les nouvelles variantes montrent des capacités améliorées d’identification de fichiers et utilisent la compression de données chiffrées par mot de passe avant le téléchargement SFTP vers des serveurs de commande et de contrôle (C2).
La distribution du malware se fait via des applications VPN malveillantes (EarthVPN, ComodoVPN) ciblant les anglophones et les locuteurs farsi via des canaux Telegram. L’analyse de l’infrastructure révèle des connexions avec le malware SandStrike et les opérations RAT PowerShell de MuddyWater, avec des adresses IP C2 codées en dur fournissant un lien d’attribution.
Cet article est une analyse de menace détaillant les activités de cyberespionnage mobile en cours parrainées par l’État iranien, mettant en lumière les nouvelles capacités du malware DCHSpy.
🧠 TTP et IOC détecté
TTP
T1407: User Execution, T1406: Obfuscated Files or Information, T1412: Capture Audio, T1416: Capture Camera, T1429: Data Encrypted, T1430: Data Transfer Size Limits, T1432: Data from Local System, T1433: Data from Network Shared Drive, T1436: Data from Removable Media, T1446: Input Capture, T1456: Input Prompt, T1476: Deliver Malicious App via App Store, T1477: Deliver Malicious App via Other Means, T1483: Exfiltration Over Alternative Protocol, T1485: Command and Control Protocol, T1486: Web Service, T1487: Application Layer Protocol, T1488: Protocol Impersonation, T1491: Remote Access Tools, T1496: Standard Application Layer Protocol, T1497: Standard Non-Application Layer Protocol, T1502: Data Compressed, T1503: Data Encrypted for Impact, T1505: Data from Information Repositories, T1512: Video Capture, T1516: System Information Discovery, T1520: Exfiltration Over Physical Medium, T1521: Exfiltration Over Web Service, T1522: Exfiltration Over Command and Control Channel
IOC
EarthVPN, ComodoVPN, Telegram, StarLink, SandStrike, MuddyWater
🔗 Source originale : https://security.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware