DCHSpy: Surveillanceware Android Nâng Cao Của Nhóm MuddyWater
Các nhà nghiên cứu bảo mật tại Lookout đã phát hiện bốn mẫu mới của DCHSpy, một surveillanceware Android tiên tiến được cho là của nhóm tác nhân đe dọa MuddyWater. Nhóm này được cho là có liên kết với Bộ Tình báo và An ninh (MOIS) của Iran. Những mẫu DCHSpy mới này xuất hiện chỉ khoảng một tuần sau khi xung đột Israel-Iran bùng phát, cho thấy khả năng thích ứng nhanh chóng của các công cụ malware để phản ứng với các cuộc đối đầu trong khu vực.
DCHSpy, được Lookout bảo vệ khách hàng từ năm 2024, hoạt động như một implant mô-đun được thiết kế để đánh cắp dữ liệu toàn diện (data exfiltration) từ các thiết bị di động bị lây nhiễm.
Khả Năng Đánh Cắp Dữ Liệu Của DCHSpy
Malware này được thiết kế để thu thập có hệ thống các thông tin nhạy cảm từ thiết bị nạn nhân. Các loại dữ liệu mà DCHSpy có khả năng thu thập bao gồm:
- Các tài khoản đã đăng nhập trên thiết bị.
- Danh sách liên hệ.
- Tin nhắn SMS.
- Các tệp tin được lưu trữ trên thiết bị.
- Dữ liệu định vị GPS (geolocation data).
- Lịch sử cuộc gọi.
- Ghi âm môi trường xung quanh thông qua việc chiếm quyền điều khiển microphone.
- Chụp ảnh thông qua việc kiểm soát camera của thiết bị.
Đặc biệt, DCHSpy còn mở rộng phạm vi tấn công tới dữ liệu WhatsApp, cho phép kẻ tấn công chặn các cuộc liên lạc từ nền tảng nhắn tin phổ biến này. Khả năng này giúp MuddyWater thu thập thông tin tình báo chi tiết và nhạy cảm hơn từ mục tiêu của mình.
Phát Triển Và Các Tính Năng Nâng Cao
Các phiên bản DCHSpy mới nhất giới thiệu các khả năng nâng cao đáng kể, bao gồm việc xác định và trích xuất tệp tin mục tiêu một cách chính xác hơn, cùng với khả năng thu thập dữ liệu chuyên biệt từ WhatsApp. Những cải tiến này cho phép thu thập thông tin tình báo chi tiết và chính xác hơn.
Quá trình đánh cắp dữ liệu được thực hiện một cách lén lút và an toàn. Dữ liệu thu thập được sẽ được nén lại, sau đó mã hóa bằng mật khẩu được lấy từ máy chủ C2 (Command-and-Control). Cuối cùng, dữ liệu được tải lên các máy chủ SFTP do nhóm tác nhân đe dọa kiểm soát. Cơ chế này đảm bảo dữ liệu được đánh cắp một cách bí mật và khó bị phát hiện.
Kiến trúc mô-đun của DCHSpy cho thấy những nỗ lực phát triển liên tục của MuddyWater. Nhóm này liên tục điều chỉnh malware để khai thác các sự kiện hiện tại và tạo ra các mồi nhử kỹ thuật xã hội (social engineering lures) phù hợp, nhằm tăng cường hiệu quả các chiến dịch tấn công của chúng.
Chiến Thuật Phân Phối và Kỹ Thuật Xã Hội
MuddyWater nổi tiếng với việc nhắm mục tiêu vào các tổ chức trong các lĩnh vực viễn thông, quốc phòng, dầu khí và chính phủ trên khắp Trung Đông, châu Á, châu Phi, châu Âu và Bắc Mỹ. Nhóm này dường như đang tận dụng DCHSpy trong các chiến dịch có mục tiêu cụ thể nhằm vào các đối thủ được nhận định, đặc biệt trong bối cảnh các cuộc đàn áp nội bộ và xung đột bên ngoài của Iran.
Các chiến dịch phân phối DCHSpy thường dựa vào các kỹ thuật kỹ thuật xã hội tinh vi. Trong bối cảnh chính phủ Iran áp đặt việc cắt internet sau các cuộc đối đầu với Israel, các biến thể mới của DCHSpy bị nghi ngờ đã sử dụng các mồi nhử liên quan đến StarLink. Kẻ tấn công lợi dụng việc nhà cung cấp internet vệ tinh này cung cấp dịch vụ để khôi phục kết nối cho những người Iran bị ảnh hưởng. Điều này tận dụng sự lo ngại và nhu cầu của người dân để lừa họ cài đặt phần mềm độc hại.
Một ví dụ điển hình là một mẫu DCHSpy với SHA1 hash 9dec46d71289710cd09582d84017718e0547f438, được ngụy trang thành ứng dụng “starlink_vpn(1.3.0)-3012 (1).apk”, giả dạng một ứng dụng VPN hợp pháp. Điều này hoàn toàn phù hợp với kịch bản tấn công đã được thiết lập của MuddyWater, đó là giả mạo các ứng dụng lành tính như VPN hoặc công cụ ngân hàng để đánh lừa người dùng cài đặt.
Việc phân phối malware thường diễn ra thông qua các kênh Telegram quảng cáo các dịch vụ giả mạo như EarthVPN và ComodoVPN. Các kênh này thường có nội dung chống chính quyền bằng tiếng Anh và tiếng Farsi để thu hút những người bất đồng chính kiến, nhà hoạt động và nhà báo. Những kênh này dẫn đến các trang web đơn giản chứa các tệp APK độc hại, với các chi tiết giả mạo như địa chỉ kinh doanh của Canada hoặc Romania để tạo vẻ tin cậy. Điều này phản ánh các chiến dịch trước đây, chẳng hạn như hoạt động HideVPN vào tháng 7 năm 2024.
Cơ Sở Hạ Tầng và Sự Trùng Lặp TTP
Cơ sở hạ tầng của DCHSpy cho thấy sự trùng lặp với SandStrike, một surveillanceware Android khác được Kaspersky báo cáo vào năm 2022, vốn nhắm mục tiêu vào các tín đồ Baháʼí. Phân tích của Lookout đã tiết lộ các địa chỉ IP C2 được chia sẻ giữa các chiến dịch này, bao gồm cả những địa chỉ được sử dụng để triển khai các PowerShell RAT (Remote Access Trojan) có liên quan đến MuddyWater.
Cả hai họ malware này đều sử dụng các TTP (Tactics, Techniques, and Procedures) tương tự. Một trong những TTP phổ biến nhất là phân phối qua các URL độc hại được lan truyền qua các ứng dụng nhắn tin như Telegram.
Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Hash
- SHA1:
9dec46d71289710cd09582d84017718e0547f438(liên quan đến mẫustarlink_vpn(1.3.0)-3012 (1).apk)
Bối Cảnh Rộng Hơn: Các Nhóm APT Iran và Hoạt Động Giám Sát Di Động
Sự xuất hiện của DCHSpy phản ánh một mô hình rộng lớn hơn của các nhóm APT (Advanced Persistent Threat) của Iran sử dụng surveillanceware di động. Lookout đã công bố vào năm 2023 về việc nhóm thực thi pháp luật FARAJA của Iran sử dụng BouldSpy. Nghiên cứu liên tục của Lookout theo dõi 17 họ malware di động duy nhất liên kết với ít nhất 10 nhóm APT Iran trong hơn một thập kỷ, cùng với các công cụ thương mại như Metasploit, AndroRat và AhMyth.
Các trường hợp tương tự gần đây bao gồm các chiến dịch GuardZoo và SpyMax liên kết với Houthi chống lại lực lượng Syria, minh họa việc các quốc gia sử dụng các implant di động để giám sát trong các cuộc xung đột. Khi tình hình Trung Đông tiếp tục diễn biến sau lệnh ngừng bắn, việc DCHSpy tiếp tục được tinh chỉnh báo hiệu các mối đe dọa dai dẳng, và Lookout cam kết theo dõi MuddyWater cũng như cập nhật thông tin tình báo cho những người đăng ký dịch vụ của họ.
