執筆者
イランのハッカーは、6月に始まったイスラエルとイランの紛争のわずか1週間後に、サイバースパイ活動を開始した可能性が高い。
7月21日に公開された新しいレポートで、サイバーセキュリティ企業Lookoutは、イランのサイバースパイグループMuddyWaterによって利用されているAndroid監視ツール「DCHSpy」の新たな4つのサンプルについての調査結果を共有した。
この新たなキャンペーンでは、イーロン・マスクのSpaceXが所有する衛星インターネットサービス「Starlink」を題材とした誘導手法を利用し、新型DCHSpyのバージョンを展開しているようだ。
Starlinkは、イランとイスラエルの間で敵対行為が激化した結果、7月にイランでインターネットが遮断された際、イラン人にインターネット接続を提供した。
SandStrikeの亜種、DCHSpyの背景
DCHSpyは、少なくとも2024年から活動しているAndroid監視ウェアファミリーである。
このマルウェアは、SandStrikeとして知られる別のAndroidマルウェアとインフラを共有している。SandStrikeは、2022年にKasperskyによって初めて報告されたAndroid監視ツールで、イランや中東の一部で信仰されているバハイ教の信者を標的としていた。
SandStrikeと同様に、DCHSpyもMuddyWaterによって開発・維持されている可能性が高い。MuddyWaterは、イランの情報保安省と関連していると考えられている高度持続的脅威(APT)グループである。
DCHSpyは通常、政治的な誘導や、VPNや銀行アプリなどの正規アプリを装って拡散される。
DCHSpy 2025年版:新たな誘導手法と機能
従来のDCHSpyサンプルは「HideVPN」という一見正規のVPNソリューションを利用していたが、Lookoutが特定した新たな4つのDCHSpyサンプルは、「EarthVPN」と「ComodoVPN」という2つの新しいVPNアプリを装っている。
前者はルーマニア拠点のVPNソリューション、後者はカナダ拠点であると主張している。
これら3つのアプリと「Hazrat Eshq」と呼ばれるアプリは、英語話者やペルシャ語話者を対象に、反イラン的なテーマや言語を用いて、様々なTelegramチャンネルで宣伝されている。
Earth VPNサンプルの1つは、Starlinkへの言及を含むAndroidパッケージ(APK)ファイル名でアップロードされていた。これらは、それぞれの国に存在するランダムな企業の住所や連絡先番号を記載している。
「これは、DCHSpyのVPNサンプルがStarlinkを題材とした誘導でも拡散されている可能性を示唆している。特に、最近の報告でStarlinkがイラン政府によるインターネット遮断時にイラン国民へインターネットサービスを提供したことが指摘されていることを考えると、その可能性は高い」とLookoutのレポートは述べている。
新たなDCHSpyサンプルは、展開されると従来のサンプルよりも広範な情報を標的デバイスから収集する。これには以下が含まれる:
- 端末でログインしているアカウント
- 連絡先
- SMSメッセージ
- 端末に保存されているファイル
- 位置情報データ
- 通話履歴
- WhatsAppデータ
- マイクを制御しての音声取得
- カメラを制御しての写真取得
「これら最新のDCHSpyサンプルは、中東情勢の変化に伴い監視ウェアの開発と利用が継続していることを示している。特に、イランがイスラエルとの停戦後に自国民への弾圧を強化している中で、その傾向が顕著である」とLookoutのレポートは述べている。
17種類のモバイルマルウェア、10のイランAPTグループに関連
このモバイルサイバーセキュリティ企業は、少なくとも10のイランAPTがモバイルユーザーを監視攻撃するために使用している17種類のモバイルマルウェアファミリーを特定した。
これにはSandStrikeやDCHSpyのほか、2023年にイランイスラム共和国の法執行機関が使用したBouldSpy、イラン政権と連携するイエメン拠点のフーシ派に関連するGuardZooなどが含まれる。
Lookoutはまた、イランのAPTグループがMetasploit、AndroRat、AhMyth、SpyMaxなどの一般的なスパイウェアを利用してサイバースパイ活動を展開していることも観測している。
翻訳元: https://www.infosecurity-magazine.com/news/iran-hackers-new-android-spyware/