Іранська розвідка поширює шпигунське програмне забезпечення під виглядом популярних VPN-сервісів.
Про це повідомили дослідники безпеки з компанії Lookout, пише
Theregister.
За їхніми даними, з 23 червня 2025 року з'явилися чотири нові зразки шпигунського ПЗ для Android під назвою DCHSpy, пов'язаного з Міністерством розвідки і безпеки Ірану (MOIS). Вони були замасковані під VPN-додатки Earth VPN і Comodo VPN.
Експерти вважають, що поширення вірусів почалося незабаром після перших авіаударів Ізраїлю по іранських об'єктах. В одному зі шкідливих файлів дослідники знайшли згадку про Starlink, що, на їхню думку, вказує на спробу використати інтерес до супутникового інтернету компанії SpaceX для обману користувачів. В умовах блокування інтернету в Ірані після ударів по ядерних об'єктах, VPN став одним із небагатьох способів обійти цензуру.
Дослідник Lookout Алемдар Ісламоглу повідомив, що після завантаження зразків на VirusTotal команда вийшла на пов'язану з ними інфраструктуру, виявила додаток Comodo VPN і підтвердила, що він також є модифікацією DCHSpy. Він зазначив, що нове шкідливе ПЗ продовжує розвиватися в міру посилення внутрішнього контролю в Ірані після тимчасового припинення вогню з Ізраїлем.
Угруповання MuddyWater, пов'язане з MOIS, стоїть за поширенням DCHSpy. Проти цієї структури США запровадили санкції 2022 року за кібератаки на Албанію та інші ворожі дії проти США та їхніх союзників. Раніше вона націлювалася на телекомунікаційні компанії, муніципальну владу, оборонну та енергетичну галузі в різних країнах, включно з Близьким Сходом, Європою та Північною Америкою.
Хоча дослідники не можуть точно визначити, кого саме мають на меті заразити, на одній із Telegram-сторінок із Comodo VPN стверджується, що сервісом користуються активісти та журналісти по всьому світу. За словами Ісламоглу, VPN часто використовують в Ірані як прикриття, оскільки країна закрита від зовнішнього інтернету. Він припускає, що головна мета кампанії - стеження за іранськими дисидентами всередині і за межами країни, а також за правозахисниками і репортерами.
Кількість жертв поки що невідома. Але, як наголосив Ісламоглу, з 2021 року Lookout виявила тільки 11 зразків DCHSpy, а чотири - лише за один тиждень - це аномалія.
Дослідники знайшли Telegram-канал, через який поширювалося ПЗ, і не виключають, що його могли також передавати через фішинг, месенджери та SMS. Останні версії DCHSpy отримали додаткові функції: збір даних WhatsApp, пошук і вилучення певних файлів на пристрої, а також стиснення і шифрування зібраної інформації з її подальшим відправленням на віддалений сервер зловмисників.
Як пояснив директор із досліджень у Lookout Крістоф Хебайзен, WhatsApp особливо цікавить розвідслужби через наскрізне шифрування. Прочитати повідомлення можна тільки після зараження пристрою шпигунським ПЗ, що і є метою іранської операції.
