This post is also available in:
English (אנגלית)
חקירה עדכנית בתחום אבטחת הסייבר חשפה גל חדש של רוגלות לאנדרואיד, המתחזות לכלי VPN וליישומים בנקאיים לגיטימיים – ומעוררות חשש גובר מפני ריגול סלולרי. הרוגלה, שזוהתה בשם DCHSpy, מקושרת לקבוצת הסייבר האיראנית MuddyWater.
ביוני 2025, כשבוע לאחר הסלמה במתיחות בין ישראל לאיראן, חוקרי חברת Lookout Security זיהו ארבע גרסאות חדשות של DCHSpy, שהופצו באמצעות אפליקציית טלגרם. האפליקציות הזדוניות התחזו לשירותים פופולריים כמו Earth VPN, Comodo VPN, ו-Hide VPN. בעוד שהן מציגות עצמן ככלים לחיבור מאובטח, בפועל הן משתלטות על המכשיר ואוספות מידע אישי – החל מהודעות SMS, רשימות אנשי קשר והיסטוריית מיקום, ועד להודעות וואטסאפ, יומני שיחות, קבצים מאוחסנים, הקלטות מיקרופון ותמונות מהמצלמה.
אחת הטכניקות הבולטות בקמפיין זה היא שימוש בפיתיון הקשור לשירות Starlink. עם תחילת העימות ובצל מגבלות הגישה לאינטרנט שהוטלו באיראן, ניצלו התוקפים את ההתעניינות הגוברת של המשתמשים בשירות האינטרנט הלווייני – והציעו אפליקציות מזויפות שמתחזות ליישומי Starlink כדי לפתות קורבנות להוריד את הרוגלה.
מאחורי הקלעים, DCHSpyחולקת תשתית נרחבת עם רוגלה קודמת בשם SandStrike. לשתיהן כתובת IP קבועה וזהה של שרת פיקוד ושליטה (C2), שהוזכרה בעבר גם בקשר לסוס טרויאני מבוסס PowerShell, שמיוחס אף הוא ל-MuddyWater. לאחר ההתקנה, התוכנה הזדונית מתקשרת עם שרת ה-C2 כדי להשיג מפתחות הצפנה, ודואגת לדחוס, לקודד ולשלוח את המידע הגנוב באמצעות פרוטוקול Secure FTP.
אנליסטים מזהירים כי יש לנקוט משנה זהירות באזורים הסובלים מהפרעות בשירותי האינטרנט. הורדת אפליקציות ממקורות בלתי רשמיים, במיוחד בזמני משבר, עלולה לחשוף מכשירים לניטור סמוי. בחברת Lookout הדגישו כי ימשיכו לעקוב אחר פעילות קבוצת MuddyWater ויעדכנו את הציבור ככל שיתגלו ממצאים חדשים.
הופעתה של DCHSpy ממחישה את המורכבות והתחכום ההולכים וגדלים של טקטיקות ריגול סייבר – טקטיקות המשלבות אירועים גיאופוליטיים עם הונאה טכנולוגית מתוחכמת – ומהוות אתגר מהותי לאבטחת מידע, במיוחד באזורים פגיעים ברחבי העולם.
