2025年7月21日Ravie Lakshmananスパイウェア / モバイルセキュリティ
サイバーセキュリティ研究者は、イランの情報保安省(MOIS)に関連している可能性が高い新たなAndroidスパイウェアの痕跡を発見しました。このスパイウェアは、VPNアプリやSpaceXが提供する衛星インターネット接続サービス「Starlink」を装って標的に配布されていました。
モバイルセキュリティベンダーのLookoutによると、同社がDCHSpyとして追跡している監視用ツールのサンプルを、先月発生したイスラエル・イラン紛争の開始から1週間後に4件発見したとのことです。これらのアプリが実際に何人にインストールされたかは明らかになっていません。
「DCHSpyは、WhatsAppデータ、アカウント、連絡先、SMS、ファイル、位置情報、通話履歴を収集し、音声の録音や写真の撮影も可能です」と、セキュリティ研究者のAlemdar Islamoglu氏とJustin Albrecht氏が述べています。
2024年7月に初めて検出されたDCHSpyは、MOISに関連するイランの国家支援グループMuddyWaterの仕業と考えられています。このハッキンググループは、Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm(旧Mercury)、Seedworm、Static Kitten、TA450、Yellow Nixとも呼ばれています。
DCHSpyの初期バージョンは、イラン政権に反するテーマを用いて、英語およびペルシャ語話者をTelegramチャンネル経由で標的にしていたことが確認されています。マルウェアの宣伝にVPNを利用していることから、反体制派、活動家、ジャーナリストが標的となっている可能性が高いです。
新たに確認されたDCHSpyの亜種は、地域で最近発生した紛争を受けて、Earth VPN(”com.earth.earth_vpn”)、Comodo VPN(”com.comodoapp.comodovpn”)、Hide VPN(”com.hv.hide_vpn”)など、一見有用なサービスを装って敵対者に配布されていると考えられています。
興味深いことに、Earth VPNアプリのサンプルの1つが、「starlink_vpn(1.3.0)-3012 (1).apk」という名称のAPKファイルとして配布されていることが判明しており、マルウェアがStarlink関連の誘導で標的に拡散されている可能性を示しています。
Starlinkの衛星インターネットサービスは、先月イランで政府によるインターネット遮断の中で有効化されました。しかし数週間後、イラン議会は投票により、無許可運用を理由にその利用を禁止しました。
モジュール型トロイの木馬であるDCHSpyは、端末にサインインしているアカウント、連絡先、SMSメッセージ、通話履歴、ファイル、位置情報、周囲の音声、写真、WhatsApp情報など、幅広いデータを収集する機能を備えています。
DCHSpyはまた、Kasperskyが2022年11月に、無害に見えるVPNアプリを装ってペルシャ語話者を標的にしているとして警告したSandStrikeという別のAndroidマルウェアとインフラを共有しています。
DCHSpyの発見は、中東地域の個人や団体を標的としたAndroidスパイウェアの最新事例です。他に記録されているマルウェアには、AridSpy、BouldSpy、GuardZoo、RatMilad、SpyNoteなどがあります。
「DCHSpyはSandStrikeと同様の手口やインフラを利用しています」とLookoutは述べています。「Telegramなどのメッセージングアプリで直接共有される悪意のあるURLを利用し、特定のグループや個人に配布されています。」
「DCHSpyの最新サンプルは、中東情勢の変化に伴い、この監視用マルウェアの開発と利用が継続していることを示しています。特に、イスラエルとの停戦後にイランが自国民への締め付けを強化している中で顕著です。」
翻訳元: https://thehackernews.com/2025/07/iran-linked-dchspy-android-malware.html