Grupo ligado ao Irão usa nova versão de spyware Android em contexto de conflito com Israel

O grupo de ciberespionagem APT MuddyWater, ligado ao governo do Irão, está a utilizar uma nova versão do spyware DCHSpy para Android no contexto do recente conflito com Israel, revela um relatório da empresa de segurança móvel Lookout.

Ativo desde 2017, o MuddyWater tem conduzido operações de vigilância e ciberespionagem focadas no Médio Oriente. As autoridades norte-americanas associaram o grupo ao Ministério de Inteligência e Segurança iraniano, classificando-o como uma das principais ameaças persistentes avançadas (APT) na região.

De acordo com a Lookout, uma semana após o início das hostilidades entre Irão e Israel, foram identificadas novas amostras do DCHSpy. O spyware foi distribuído através de aplicações Android falsas, que se faziam passar por VPN legítimas ou apps bancárias, utilizando temas políticos como isco.

Entre os nomes utilizados estão apps fraudulentas como Earth VPN, Comodo VPN, Hide VPN e Hazrat Eshq, promovidas em canais do Telegram. Uma das versões da Earth VPN utilizava iscos relacionados com a Starlink, explorando rumores de que a empresa norte-americana estaria a oferecer serviços de internet à população iraniana durante os cortes de rede impostos pelo regime.

Segundo a Lookout, o DCHSpy é um malware modular concebido para recolher uma ampla variedade de dados a partir de dispositivos infetados. Entre as informações visadas estão credenciais de utilizador, contactos, mensagens SMS, ficheiros locais, registos de chamadas, localização geográfica, dados do WhatsApp, bem como gravações de áudio e fotografias captadas através do microfone e da câmara do dispositivo.

Os dados são comprimidos, encriptados com uma palavra-passe fornecida pelo servidor de comando e controlo (C2) e enviados através de um canal seguro SFTP.

A investigação da Lookout revela ainda que o DCHSpy partilha infraestrutura e táticas com o SandStrike, outro spyware Android ligado ao grupo MuddyWater. Numa das amostras analisadas, um ficheiro VPN malicioso era usado para se ligar à infraestrutura do grupo, implantando depois um PowerShell RAT associado à MuddyWater.

“O DCHSpy utiliza táticas e infraestruturas semelhantes às do SandStrike. É distribuído a grupos e indivíduos específicos, usando URLs falsos partilhados via apps de mensagens como o Telegram”, destaca a Lookout.

Até agora, a Lookout identificou 17 famílias de malware móvel utilizadas por pelo menos 10 APTs iranianos em ataques de vigilância contra utilizadores de smartphones. As novas variantes do DCHSpy demonstram a continuidade e evolução das capacidades de espionagem desenvolvidas por grupos ligados a Teerão.

“Estas amostras mais recentes do DCHSpy indicam o desenvolvimento e a utilização contínua do software de vigilância à medida que a situação no Médio Oriente evolui, especialmente com o Irão a reprimir os seus cidadãos após o cessar-fogo com Israel”, conclui a empresa de cibersegurança.