L’analyse détaillée de DCHSpy-MuddyWaters révèle un malware Android sophistiqué qui se fait passer pour une application légitime de VPN Comodo. Ce logiciel malveillant est conçu pour collecter des données sensibles, notamment les contacts et les bases de données WhatsApp des utilisateurs.
Le malware utilise une méthode d’exfiltration via SFTP pour envoyer les données volées à ses opérateurs. Une particularité de ce malware est qu’il a révélé le chemin de développement de ses créateurs : C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/, ce qui pourrait donner des indices sur les développeurs derrière cette menace.
Les indicateurs de compromission (IOCs) incluent la présence de fichiers et de chemins spécifiques associés à l’application déguisée en VPN Comodo. Les techniques, tactiques et procédures (TTPs) comprennent l’usurpation d’identité d’applications légitimes et l’utilisation de protocoles sécurisés pour l’exfiltration de données.
Cet article est une analyse technique visant à informer sur les méthodes utilisées par DCHSpy-MuddyWaters pour tromper les utilisateurs et voler des informations sensibles. Il met en lumière les dangers des applications déguisées et l’importance de la vigilance en matière de sécurité mobile.
🧠 TTP et IOC détecté
TTP
Usurpation d’identité d’applications légitimes, Exfiltration de données via SFTP
IOC
C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/
🔗 Source originale : https://fluxsec.red/analysing-Iranian-APT-MuddyWater-mobile-spyware-free-vpn-comodo