Темата Starlink се експлоатира успешно от хакери за шпиониране на

Темата Starlink се експлоатира сполучливо от хакери за шпиониране на хора
(снимка: CC0 Public Domain)

Нов шпионски програмен продукт за Android прилича по метода на разпространяване и деяние по-ранни закани от този тип и евентуално има същия генезис. Експерти идентифицираха съставни елементи на програмата, маскирани като VPN услуги и принадлежности за свързване към сателитната информационна система Starlink.

Тези стратегии са основани от структури, свързани с иранското Министерство на разузнаването и националната сигурност (MOIS), настояват откривателите от Lookout. Те са разкрили общо четири мостри от шпионския програмен продукт през юни, на които е обещано название DCHSpy.

Зловредният програмен продукт DCHSpy извлича данни от WhatsApp, сметки, контакти, SMS, файлове, геолокация и дневници на позвънявания. Освен това може да записва аудио и да прави фотоси.

За първи път открит през юли 2024 година, DCHSpy се счита за дело на клъстера MuddyWater APT, който е обвързван с MOIS. Групата обаче има доста имена, защото съвсем всеки проучвателен екип по сигурността дефинира собствен личен вид: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (преди Mercury), Seedworm, Static Kitten, TA450 и Yellow Nix.

Първите версии на DCHSpy бяха публикувани измежду англоезични и персийскоговорящи консуматори посредством Telegram канали със наличие, противопоставящо се на иранското държавно управление. Тъй като зловредният програмен продукт е бил разпространяван посредством примамливи VPN приложения, евентуално задачите са били най-вече дисиденти, деятели и публицисти.

Според нови данни, настоящите разновидности на DCHSpy се популяризират измежду съперниците на властта след неотдавнашния спор в района под прикритието на потребни приложения като Earth VPN, Comodo VPN и Hide VPN.

Един от образците на Earth VPN е публикуван като APK файл с име starlink_vpn(1.3.0)-3012 (1).apk, което демонстрира, че зловредният програмен продукт евентуално се промотира посредством експлоатиране на тематиката Starlink.

Достъпът до сателитен интернет Starlink в Иран беше отворен през юни – на фона на прекъсването на „ земния ” интернет от страна на държавното управление. Само няколко седмици по-късно обаче законодателното заседание на страната гласоподава за цялостна възбрана на потреблението му заради „ противозаконна активност ”.

Модулният троянски кон DCHSpy е кадърен да събира необятен набор от данни, в това число сметки, контакти, SMS известия, дневници на позвънявания, файлове и координати на физическо местонахождение. Той може също да записва фонов тон и да прави фотоси без знанието на притежателя.

DCHSpy употребява същата инфраструктура като различен злотворен програмен продукт за Android, SandStrike, разказан от Kaspersky Lab през ноември 2022 година По това време той се разпространяваше измежду персийскоговорящи консуматори под прикритието на безобидни VPN приложения.

Използването на VPN като стръв е доста ефикасен способ. А откриването на DCHSpy е следващ образец за потребление на злотворен програмен продукт за Android за шпиониране на хора и организации в Близкия изток. Подобна функционалност имат AridSpy, BouldSpy, GuardZoo, RatMilad, SpyNote и други стратегии.
Интелигентни мрежови решения за хотели от Omada by TP-Link
Осигурят безпроблемна интернет съгласуваност за качествено туристическо обслужване »»»
предишна обява: Microsoft уточни най-надеждната версия на Windows следваща обява:
графа: Новини, Топ вести, Хардуер и Софтуер | етикети: Starlink, хакери, шпионски програмен продукт
Коментар

ИМЕ *