Иранская разведка распространяет шпионское программное обеспечение под видом популярных VPN-сервисов, сообщили исследователи безопасности из компании Lookout. Источник: Theregister
По их данным, с 23 июня 2025 года появились четыре новых образца шпионского ПО для Android под названием DCHSpy, связанного с Министерством разведки и безопасности Ирана (MOIS). Они были замаскированы под VPN-приложения Earth VPN и Comodo VPN.
Эксперты считают, что распространение вирусов началось вскоре после первых авиаударов Израиля по иранским объектам. В одном из вредоносных файлов исследователи нашли упоминание о Starlink, что, по их мнению, указывает на попытку использовать интерес к спутниковому интернету компании SpaceX для обмана пользователей. В условиях блокировки интернета в Иране после ударов по ядерным объектам, VPN стал одним из немногих способов обойти цензуру.
Исследователь Lookout Алемдар Исламоглу сообщил, что после загрузки образцов на VirusTotal команда вышла на связанную с ними инфраструктуру, выявила приложение Comodo VPN и подтвердила, что оно также является модификацией DCHSpy. Он отметил, что новое вредоносное ПО продолжает развиваться по мере ужесточения внутреннего контроля в Иране после временного прекращения огня с Израилем.
Группировка MuddyWater, связанная с MOIS, стоит за распространением DCHSpy. Против этой структуры США ввели санкции в 2022 году за кибератаки на Албанию и другие враждебные действия против США и их союзников. Ранее она нацеливалась на телекоммуникационные компании, муниципальные власти, оборонную и энергетическую отрасли в разных странах, включая Ближний Восток, Европу и Северную Америку.
Хотя исследователи не могут точно определить, кого именно целятся заразить, на одной из Telegram-страниц с Comodo VPN утверждается, что сервисом пользуются активисты и журналисты по всему миру. По словам Исламоглу, VPN часто используются в Иране как прикрытие, так как страна закрыта от внешнего интернета. Он предполагает, что главная цель кампании — слежка за иранскими диссидентами внутри и за пределами страны, а также за правозащитниками и репортерами.
Количество жертв пока неизвестно. Но, как подчеркнул Исламоглу, с 2021 года Lookout обнаружила только 11 образцов DCHSpy, а четыре — всего за одну неделю — это аномалия.
Исследователи нашли Telegram-канал, через который распространялось ПО, и не исключают, что его могли также передавать через фишинг, мессенджеры и SMS. Последние версии DCHSpy получили дополнительные функции: сбор данных WhatsApp, поиск и извлечение определенных файлов на устройстве, а также сжатие и шифрование собранной информации с её последующей отправкой на удаленный сервер злоумышленников.
Как объяснил директор по исследованиям в Lookout Кристоф Хебайзен, WhatsApp особенно интересует разведслужбы из-за сквозного шифрования. Прочитать сообщения можно только после заражения устройства шпионским ПО, что и является целью иранской операции.
Ранее сообщалось, что Иран покупает у РФ аэростаты, которые могут использоваться для шпионажа.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet