Negli ultimi sviluppi nel panorama della sicurezza mobile, è stato scoperto un nuovo spyware per Android denominato DCHSpy, collegato al Ministero dell’Intelligence e Sicurezza iraniano. Questo malware viene distribuito camuffandosi da applicazione VPN o da applegate a servizi come Starlink, la nota connessione satellitare di SpaceX. Gli esperti di Lookout, società specializzata in sicurezza mobile, hanno individuato quattro varianti di questo strumento di sorveglianza poco dopo l’escalation tra Israele e Iran, sottolineando come il reale numero di utenti colpiti resti sconosciuto.

DCHSpy rappresenta una minaccia significativa, in quanto è in grado di raccogliere informazioni molto sensibili tra cui dati WhatsApp, account, contatti, SMS, file, posizione, registri delle chiamate, e può persino registrare audio e scattare foto senza che la vittima se ne accorga. Gli analisti attribuiscono la paternità di questo spyware al gruppo MuddyWater, noto anche con altri nomi come Seedworm e Static Kitten, già in passato legato ad attività di cyber spionaggio sponsorizzate dallo stato iraniano.

Le prime campagne di DCHSpy hanno preso di mira utenti che parlano inglese e farsi attraverso canali Telegram, sfruttando temi e argomenti contrari al regime iraniano. L’utilizzo di app fake VPN suggerisce un focus specifico su dissidenti, attivisti e giornalisti. Le varianti più recenti vengono diffuse tramite app apparentemente legittime come Earth VPN, Comodo VPN e Hide VPN, con nomi di pacchetto simili a quelli delle app originali. In particolare, una delle app dannose era distribuita come “starlink_vpn(1.3.0)-3012 (1).apk”, segnale che gli attaccanti sfruttano anche l’interesse verso Starlink, soprattutto dopo l’attivazione del servizio in Iran in seguito a blackout imposti dal governo.

DCHSpy si comporta come un trojan modulare, capace di raccogliere una vasta gamma di dati dai dispositivi infetti e condivide infrastrutture con altri malware Android come SandStrike, già noto per colpire utenti di lingua persiana tramite false VPN. La diffusione avviene spesso tramite link malevoli condivisi direttamente su app di messaggistica come Telegram.

Questa scoperta si inserisce in un trend più ampio di spyware Android rivolti a utenti del Medio Oriente, come AridSpy, BouldSpy, GuardZoo, RatMilad e SpyNote. Gli esperti sottolineano che lo sviluppo e l’uso di DCHSpy continuano a evolversi parallelamente alla situazione geopolitica della regione, mentre vengono intensificati i controlli sulle comunicazioni dei cittadini.