Un gruppo di ricercatori ha individuato una nuova campagna spyware collegata all’Iran, rivolta in particolare agli utenti Android che utilizzano app VPN.
Il team di sicurezza di Lookout, azienda specializzata in software di protezione, ha identificato una nuova variante di DCHSpy, un malware per Android che si camuffa da applicazione VPN o app legittime, tra cui una finta versione dell’app Starlink, il servizio di connessione satellitare sviluppato da SpaceX.
Secondo le analisi, l’attacco è stato lanciato dal gruppo di hacker MuddyWater appena una settimana dopo l’inizio del conflitto tra Israele e Iran. In quel periodo, la domanda di VPN era esplosa in Iran, poiché molti cittadini cercavano soluzioni per aggirare le nuove restrizioni imposte all’accesso a Internet.
Secondo gli esperti, DCHSpy è uno spyware altamente invasivo in grado di raccogliere dati sensibili dagli utenti, tra cui informazioni di WhatsApp, contatti, SMS, file personali, posizione, registro delle chiamate, oltre a poter registrare audio e scattare foto all’insaputa dell’utente.
Individuato per la prima volta nel luglio 2024, DCHSpy è stato attribuito al gruppo MuddyWater, sospettato di agire per conto del Ministero dell’Intelligence e della Sicurezza iraniano.
I ricercatori hanno ora identificato quattro nuove varianti del malware. Come spiega Lookout, “questi nuovi campioni mostrano che MuddyWater ha continuato a sviluppare lo spyware, ora capace di identificare ed esfiltrare dati da file specifici presenti sul dispositivo, oltre ai dati di WhatsApp”.
Per diffondere il malware, gli hacker sembrano utilizzare due app VPN malevole, chiamate EarthVPN e ComodoVPN, che si presentano come servizi legittimi. In passato, era già stata segnalata anche HideVPN tra le app false impiegate per installare DCHSpy.
Secondo l'analista iraniana di sicurezza informatica Azam Jangrevi, le ultime scoperte confermano quanto la sorveglianza mobile sia diventata sofisticata e mirata.
“Ciò che preoccupa maggiormente è l’uso di piattaforme affidabili come Telegram per diffondere file APK dannosi, spesso presentati come strumenti per proteggere la privacy”, ha dichiarato Jangrevi a TechRadar.
Il rischio è particolarmente elevato per gli utenti iraniani, dato che – come già evidenziato – l’utilizzo di VPN è cresciuto rapidamente nel tentativo di aggirare le crescenti restrizioni online imposte nel Paese.
Come proteggersi dagli spyware su Android
Per ridurre il rischio di infezioni da spyware come DCHSpy, l’analista Azam Jangrevi invita gli utenti a prestare la massima attenzione quando si scaricano nuove VPN o qualsiasi altra applicazione.
“Evitate di scaricare app da fonti non ufficiali, anche se promettono maggiore privacy. Affidatevi a store verificati, controllate attentamente i permessi richiesti dalle app e utilizzate soluzioni di sicurezza mobile in grado di rilevare minacce come DCHSpy”, ha dichiarato.
Per chi opera in aree ad alto rischio o in professioni sensibili come giornalismo e attivismo, Jangrevi consiglia anche l’utilizzo di chiavi di sicurezza hardware e app di messaggistica criptata approvate da ricercatori indipendenti.
“Questo episodio evidenzia quanto sia importante aumentare la consapevolezza sui vettori di minaccia mobile e adottare una corretta igiene digitale in un panorama informatico sempre più ostile”, ha concluso.