Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing.
DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran.
Techniquement, DCHSpy fonctionne comme un logiciel espion Android demandant des autorisations étendues pour extraire des messages WhatsApp, des journaux d’appels, des photos, des vidéos, des contacts et des données de localisation précises. Il capture des captures d’écran, enregistre de l’audio via le microphone et surveille l’activité du navigateur. Le trafic non chiffré est dirigé vers des domaines de commande et de contrôle codés en dur hébergés sur des plages IP iraniennes.
La distribution de ce malware se fait par le biais d’applications VPN et Starlink factices via des canaux Telegram et des sites Web contrôlés par les acteurs, en s’appuyant sur le sideloading plutôt que sur l’exploitation de CVE spécifiques.
Cet article est une analyse de menace visant à informer sur les tactiques et les techniques utilisées par le groupe Static Kitten et l’impact potentiel de DCHSpy sur la sécurité des utilisateurs mobiles iraniens.
🧠 TTPs et IOCs détectés
TTPs
T1566.002 - Spearphishing Link, T1407 - Sideloading, T1411 - Credential Dumping, T1512 - Capture Audio, T1513 - Capture Screen, T1530 - Data from Local System, T1430 - Location Tracking, T1429 - Network Traffic Capture or Redirection, T1412 - Input Capture, T1421 - Exfiltration Over Unencrypted/Obfuscated Channels
🔗 Source originale : https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware