Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware móvil DCHSpy

Malware móvil DCHSpy

Por Mezo en Malware móvil, Software espía
Traducir a:

Investigadores de ciberseguridad han descubierto recientemente una nueva ola de software espía para Android, presuntamente vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). El software espía, conocido como DCHSpy, se distribuye haciéndose pasar por servicios VPN legítimos e incluso por Starlink, el servicio de internet satelital operado por SpaceX. Esta campaña coincide con el aumento de las tensiones tras el conflicto entre Israel e Irán en junio de 2025.

El surgimiento de DCHSpy

Los investigadores detectaron DCHSpy por primera vez en julio de 2024. La herramienta se atribuye a MuddyWater, un grupo de piratería iraní respaldado por el estado que opera bajo varios alias, incluidos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450 y Yellow Nix.

Se identificaron versiones anteriores de DCHSpy que atacaban a hablantes de inglés y farsi a través de canales de Telegram, utilizando temas críticos con el régimen iraní. Los atacantes se centraban principalmente en disidentes, periodistas y activistas, atrayéndolos con servicios VPN aparentemente confiables.

Capacidades técnicas de DCHSpy

DCHSpy es un troyano modular diseñado para recopilar datos confidenciales de dispositivos infectados. Sus funciones incluyen:

  • Recopilación de datos de WhatsApp, contactos, mensajes SMS y registros de llamadas
  • Extraer cuentas iniciadas en el dispositivo
  • Acceso a archivos y datos de ubicación
  • Grabación de audio ambiental y captura de fotografías

El malware también es capaz de mantener una vigilancia persistente sobre la víctima, transformando efectivamente el dispositivo comprometido en una herramienta de espionaje.

Tácticas de distribución engañosas

Las últimas variantes de DCHSpy se están difundiendo bajo la apariencia de servicios VPN populares, incluidos:

  • VPN de la Tierra (com.earth.earth_vpn)
  • Comodo VPN (com.comodoapp.comodovpn)
  • Ocultar VPN (com.hv.hide_vpn)

Un ejemplo notable es la muestra Earth VPN, que se encontró circulando como un APK llamado 'starlink_vpn(1.3.0)-3012 (1).apk', lo que indica que los atacantes están usando temas relacionados con Starlink como señuelos.

El momento es estratégico, ya que el servicio de internet de Starlink se lanzó en Irán en junio de 2025 durante un apagón impuesto por el gobierno. Sin embargo, semanas después, el parlamento iraní lo prohibió debido a operaciones no autorizadas, lo que lo convirtió en un señuelo atractivo para personas que buscaban conectividad sin restricciones.

Conexiones con campañas anteriores

DCHSpy comparte su infraestructura con SandStrike, otro spyware para Android detectado en noviembre de 2022 por atacar a hablantes de persa mediante aplicaciones VPN falsas. Al igual que SandStrike, DCHSpy se distribuye mediante URL maliciosas compartidas directamente en aplicaciones de mensajería como Telegram.

Este nuevo descubrimiento agrega DCHSpy a una lista creciente de campañas de software espía dirigidas a objetivos de Medio Oriente, que ya incluye a AridSpy, BouldSpy, GuardZoo, RatMilad y SpyNote.

Escalada en medio de conflictos regionales

El resurgimiento de DCHSpy refleja la continua inversión en operaciones de espionaje por parte de actores respaldados por Irán. Su despliegue se alinea con los esfuerzos de Irán por reforzar el control de la información y monitorear a los disidentes, especialmente tras el reciente alto el fuego con Israel. El continuo desarrollo de este malware pone de relieve la naturaleza cambiante de las amenazas digitales en la región.

Tendencias

Mas Visto

Cargando...