Pesquisadores de cibersegurança descobriram novos artefatos do spyware Android DCHSpy, vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS). A ameaça tem sido distribuída como aplicativos falsos de VPN e até mesmo sob o nome do serviço de internet via satélite Starlink, da SpaceX, para espionar ativistas, jornalistas e dissidentes iranianos.
O malware coleta dados do WhatsApp, contas, contatos, SMS, arquivos, localização, registros de chamadas, além de gravar áudio ambiente e tirar fotos. Detectado pela primeira vez em julho de 2024, o DCHSpy é atribuído ao grupo MuddyWater, ligado ao MOIS e também conhecido como Boggy Serpens, Seedworm, TA450 e outros codinomes.
Versões anteriores já haviam circulado em canais do Telegram voltados para falantes de inglês e farsi, com temáticas contrárias ao regime iraniano. As novas variantes foram disfarçadas como apps como Earth VPN, Comodo VPN e Hide VPN, além de um APK chamado “starlink_vpn(1.3.0)”. O uso do nome Starlink é estratégico: o serviço foi ativado no Irã no mês passado durante um apagão da internet imposto pelo governo, mas logo depois foi proibido pelo parlamento iraniano. Modular e sofisticado, o DCHSpy compartilha infraestrutura com outro spyware, o SandStrike, já usado em campanhas contra falantes de persa. Ele é disseminado principalmente via links maliciosos enviados por aplicativos de mensagens como o Telegram.As novas amostras indicam evolução ativa do malware e reforçam o uso de spyware Android para repressão no Oriente Médio, juntando-se a outras ameaças como AridSpy, BouldSpy e SpyNote.
