DCHSpyモバイルマルウェア

サイバーセキュリティ研究者は最近、イラン情報治安省（MOIS）との関連が疑われるAndroidスパイウェアの新たな一群を発見しました。「DCHSpy」と呼ばれるこのスパイウェアは、正規のVPNサービスや、SpaceXが運営する衛星インターネットサービス「Starlink」を装って拡散します。このキャンペーンは、2025年6月のイスラエル・イラン紛争後の緊張の高まりと時期を同じくしています。

DCHSpyの出現

研究者らは2024年7月に初めてDCHSpyを検出しました。このツールは、Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（旧Mercury）、Seedworm、Static Kitten、TA450、Yellow Nixなど、さまざまな別名で活動する、イラン政府支援のハッキンググループMuddyWaterによるものとされています。

DCHSpyの初期バージョンは、Telegramチャンネルを通じて英語とペルシア語を話すユーザーを標的とし、イラン政権を批判するテーマを用いていることが確認されています。攻撃者は主に反体制派、ジャーナリスト、活動家を標的とし、一見信頼できるVPNサービスに見せかけて彼らを誘い込んでいました。

DCHSpyの技術的機能

DCHSpyは、感染したデバイスから機密データを収集するために設計されたモジュール型トロイの木馬です。その機能には以下が含まれます。

• WhatsAppデータ、連絡先、SMSメッセージ、通話履歴の収集
• デバイスにサインインしているアカウントの抽出
• ファイルと位置データへのアクセス
• 周囲の音を録音し、写真を撮る

このマルウェアは被害者を継続的に監視する機能も備えており、侵入したデバイスをスパイツールに効果的に変換します。

欺瞞的な流通戦術

最新の DCHSpy の亜種は、次のような人気の VPN サービスを装って拡散されています。

• アースVPN（com.earth.earth_vpn）
• コモド VPN (com.comodoapp.comodovpn)
• 隠すVPN（com.hv.hide_vpn）

注目すべき例としては、Earth VPN のサンプルがあります。これは、「starlink_vpn(1.3.0)-3012 (1).apk」という名前の APK として流通しているのが見つかり、攻撃者が Starlink 関連のテーマを餌として使用していることを示しています。

スターリンクのインターネットサービスは、2025年6月にイラン政府によるインターネット遮断措置が実施された際に開始されたため、タイミングは戦略的です。しかし、数週間後、イラン議会は無許可の運用を理由にサービスを禁止しました。そのため、制限のない接続を求める標的の個人にとって、スターリンクは魅力的な誘因となっています。

以前のキャンペーンとのつながり

DCHSpyは、2022年11月に偽VPNアプリを介してペルシャ語話者を標的とするAndroidスパイウェアとして報告されたSandStrikeとインフラストラクチャを共有しています。SandStrikeと同様に、DCHSpyはTelegramなどのメッセージングアプリで直接共有される悪意のあるURLを使用して配布されます。

この新たな発見により、中東を標的としたスパイウェア攻撃のリストに DCHSpy が追加されることになります。このリストには、すでに AridSpy、BouldSpy、GuardZoo、RatMilad、SpyNote が含まれています。

地域紛争の激化

DCHSpyの復活は、イランの支援を受けるアクターによるスパイ活動への継続的な投資を反映しています。その展開は、特にイスラエルとの最近の停戦を受けて、イランが情報統制を強化し、反体制派を監視しようとする取り組みと合致しています。このようなマルウェアの継続的な開発は、この地域におけるデジタル脅威の進化を浮き彫りにしています。