Una nueva y avanzada variante del software de vigilancia DCHSpy para Android ha sido identificada, desplegada por el grupo de ciberespionaje iraní MuddyWater. Esta aparición se produce apenas una semana después de la intensificación del conflicto entre Israel e Irán, lo que sugiere un aprovechamiento de los eventos geopolíticos actuales para engañar a las víctimas. Esta herramienta maliciosa representa una evolución significativa en las capacidades de vigilancia móvil, con el objetivo de interceptar y obtener datos de comunicaciones confidenciales.
DCHSpy: La Amenaza Móvil en Evolución de MuddyWater
Según informes de Lookout, la familia de malware DCHSpy ha sido atribuida a MuddyWater, un grupo de Amenazas Persistentes Avanzadas (APT) que se cree está afiliado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Históricamente, este grupo de ciberespionaje ha atacado a diversas entidades gubernamentales y privadas en los sectores de telecomunicaciones, gobiernos locales, defensa y petróleo en Medio Oriente, Asia, África, Europa y América del Norte.
El lanzamiento de estas nuevas muestras de DCHSpy es particularmente relevante, ya que surgieron aproximadamente una semana después de los ataques iniciales de Israel contra la infraestructura nuclear iraní. El desarrollo y la sofisticación continuos de este malware indican una inversión sostenida por parte de actores patrocinados por el estado en capacidades de vigilancia móvil.
El análisis técnico revela que DCHSpy comparte infraestructura con otro malware de Android conocido como SandStrike, el cual anteriormente tuvo como objetivo a practicantes baháʼís. Los investigadores descubrieron que las direcciones IP de comando y control (C2) codificadas se reutilizaban en múltiples familias de malware, estableciendo así vínculos operativos claros entre las campañas.
Capacidades Avanzadas de Filtración de Datos
DCHSpy funciona como una plataforma de software de vigilancia modular con capacidades integrales de recopilación de datos. El malware recopila sistemáticamente:
- Cuentas registradas en dispositivos infectados.
- Contactos.
- Mensajes SMS.
- Archivos almacenados localmente.
- Datos de ubicación precisa.
- Registros completos de llamadas.
Más preocupante aún, DCHSpy puede grabar audio al tomar el control de los micrófonos del dispositivo y capturar fotografías manipulando la cámara. Las últimas variantes también demuestran capacidades mejoradas de extracción de datos de WhatsApp, lo que representa una evolución significativa con respecto a versiones anteriores.
Una vez recopilados, los datos confidenciales se comprimen y cifran utilizando contraseñas recibidas directamente de los servidores C2. La carga útil cifrada se transmite luego a los servidores del Protocolo Seguro de Transferencia de Archivos (SFTP) de destino, asegurando una filtración segura y dificultando la detección.
Una muestra analizada con el hash SHA1 9dec46d71289710cd09582d84017718e0547f438 se distribuyó con el nombre de archivo APK starlink_vpn(1.3.0)-3012 (1).apk, lo que indica convenciones de nomenclatura sofisticadas diseñadas para parecer legítimas.
Tácticas de Distribución y Explotación Geopolítica
MuddyWater emplea tácticas de ingeniería social centradas en eventos políticos oportunos y servicios esenciales. El grupo distribuye aplicaciones maliciosas a través de canales de Telegram, disfrazando a DCHSpy como servicios VPN legítimos, incluidos EarthVPN y ComodoVPN. Estas páginas de distribución presentan temas y lenguaje atractivos tanto para hablantes de inglés como de farsi con opiniones contrarias al régimen iraní.
La incorporación de señuelos con temática de StarLink parece estratégicamente sincronizada, coincidiendo con informes de que StarLink ofrece servicios de Internet a ciudadanos iraníes durante los cortes de Internet impuestos por el gobierno tras las hostilidades entre Israel e Irán. Esto demuestra cómo los actores de amenazas explotan las crisis humanitarias y las necesidades de conectividad para entregar herramientas de vigilancia a poblaciones objetivo, particularmente activistas y periodistas que operan en entornos restrictivos.
