İran Bağlantılı Yeni Android Spyware: DCHSpy
Son dönemde siber güvenlik uzmanları, İran İç İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu düşünülen yeni Android spyware kalıntılarını ortaya çıkardı. Bu yazılımlar, VPN uygulamaları ve SpaceX’in sunduğu Starlink uydu internet bağlantı servisi olarak maskelemekte. Mobil güvenlik şirketi Lookout, DCHSpy adını verdikleri bir gözetim aracı örneğini, geçen ay başlayan İsrail-İran çatışmasının hemen ardından keşfetti.
DCHSpy’nin, kullanıcıların WhatsApp verilerini, hesaplarını, kişilerini, SMS’lerini, dosyalarını, konum bilgilerini ve çağrı günlüklerini topladığı belirtildi. Ayrıca ses kaydı yapabilme ve fotoğraf çekebilme yeteneğine de sahip.
DCHSpy ve MuddyWater Grubu
DCHSpy ilk kez Temmuz 2024’de tespit edildi ve MuddyWater isimli, MOIS ile bağlantılı bir İran devlet destekli hacker grubuyla ilişkilendiriliyor. Bu grup, Boggy Serpens, Cobalt Ulster, Earth Vetala, MuddyWater gibi birçok farklı isimle anılıyor. İlk DCHSpy sürümleri, İran rejimine karşı olan temaları kullanarak İngilizce ve Farsça konuşan kişileri hedef alıyordu. VPN lure’ları kullanılarak dağıtıldığı için, muhalifler, aktivistler ve gazetecilerin hedef alındığı düşünülüyor.
DCHSpy ile Dağıtılan Uygulamalar
Yeni tespit edilen DCHSpy varyantlarının, yakın zamanda meydana gelen çatışmanın ardından düşmanlarına karşı kullanılmak üzere etkin halde olduğu şüphesi bulunmakta. DCHSpy, Earth VPN, Comodo VPN ve Hide VPN gibi işe yarar hizmetler olarak gösterilerek kurbanlarına ulaşmayı hedefliyor. Örneğin, Earth VPN uygulamalarından bir örneği, APK dosyası olarak “starlink_vpn(1.3.0)-3012 (1).apk” adı altında dağıtılmakta. Bu durum, kötü amaçlı yazılımın Starlink ile ilgili tuzaklar kullanılarak yayılmakta olduğuna işaret ediyor.
İran’da Starlink ve İnternet Kısıtlamaları
Geçtiğimiz ay İran’da Starlink’in uydu internet hizmeti, hükümetin koyduğu internet kesintisi sırasında devreye alındı. Ancak, birkaç hafta sonra ülke parlamentosu, bu hizmetin yetkisiz operasyonlar nedeniyle yasaklanmasına karar verdi. Bu durum, siber güvenlik açısından kritik bir öneme sahip. Zira, internet erişiminin kısıtlandığı bir ortamda, kötü niyetli yazılımların etkili bir şekilde yayılması daha kolay hale geliyor.
DCHSpy, modüler bir trojan olarak tanımlanıyor ve cihazda oturum açılmış hesapları, kişileri, SMS mesajlarını, çağrı günlüklerini, dosyaları, konum bilgilerini, çevresel sesleri, fotoğrafları ve WhatsApp bilgilerinin toplanmasını sağlıyor. Ayrıca, bu yazılımın başka bir Android kötü amaçlı yazılım olan SandStrike ile de altyapı paylaştığı biliniyor. SandStrike, Kasım 2022’de Kaspersky tarafından Farsça konuşan bireyleri hedef alan, görünüşte zararsız VPN uygulamaları olarak dağıtıldığı tespit edilen bir malware türü.
Orta Doğu’da Devam Eden Tehditler
DCHSpy’nin keşfi, Orta Doğu’da bireyleri ve kuruluşları hedef alan Android spyware yazılımlarının artışını gösteriyor. Diğer belgelenmiş kötü amaçlı yazılım türleri arasında AridSpy, BouldSpy, GuardZoo, RatMilad ve SpyNote bulunuyor. Lookout, DCHSpy’nin, SandStrike ile benzer taktikler ve altyapı kullandığını belirtiyor. Hedef gruplara ve bireylere, Telegram gibi mesajlaşma uygulamaları üzerinden kötü amaçlı URL’ler paylaşarak ulaşıyorlar.
Son DCHSpy örnekleri, Orta Doğu’daki gelişmeler devam ederken gözetim yazılımının geliştirilmesi ve kullanımı açısından sürdüğünü göstermekte. Özellikle İran’ın barış anlaşması sonrası vatandaşlarına yönelik daha fazla baskı uyguladığı bu dönemde, söz konusu yazılımların tehdit potansiyeli artış göstermektedir.
Bu durum, bireylerin siber güvenlik konusunda daha dikkatli olmalarını gerektiriyor. DCHSpy’nin ve benzeri yazılımların yayılması, dijital güvenlik açığı oluşturan bir tehdit olarak karşımıza çıkıyor. Bu nedenle, bireyler ve kuruluşlar, mobil güvenlik yazılımlarını, güncellemeleri ve eğitimlerini sürekli olarak güncelleyerek bu tür tehlikelere karşı daha dirençli hale gelmelidirler.
