Un malware Android connu et affilié au régime iranien circule à nouveau dans une campagne de surveillance ciblée. Diffusé via de faux VPN, il s’appuie sur des sites factices et des APK piégées pour espionner téléphones et messageries.
- Le malware DCHSpy, lié à l'Iran, réapparaît via de faux VPN pour espionner les appareils Android ciblés.
- Les attaquants utilisent des sites factices imitant des services VPN légitimes pour diffuser des APK piégées.
- Pour éviter ces pièges, téléchargez uniquement des APK depuis le Play Store et vérifiez les autorisations.
DCHSpy, un spyware Android étatique, refait surface dans une campagne de surveillance ciblée menée par le groupe iranien MuddyWater. Derrière des applications VPN piégées et des sites usurpant l’identité de services bien réels, les attaquants visent des appareils mobiles pour en extraire un maximum de données. Une opération discrète, menée dans un contexte géopolitique tendu, avec des méthodes éprouvées mais toujours efficaces.
Une campagne de surveillance étatique dans un contexte de tensions géopolitiques
Les échantillons repérés par Lookout entre fin juin et début juillet embarquaient une nouvelle version de DCHSpy, un logiciel espion Android développé et maintenu par le groupe MuddyWater, affilié au ministère iranien du Renseignement. Actif depuis plusieurs années, cet APT cible aussi bien des acteurs publics que privés dans les secteurs de l’énergie, des télécoms, de la défense ou de l’administration, au Moyen-Orient comme en Europe ou en Amérique du Nord.
Dans le détail, DCHSpy est un malware modulaire, conçu pour des opérations de surveillance ciblée. Dans cette nouvelle campagne, les liens malveillants circulent principalement sur Telegram et redirigent vers de fausses pages web usurpant l’identité de services VPN bien réels comme EarthVPN, ComodoVPN ou HideVPN. Pour inspirer confiance, les attaquants ont reproduit des interfaces en apparence légitimes, du logo à la mise en page, avec des adresses et numéros de téléphone empruntés à des entreprises bien réelles, domiciliées dans les juridictions associées aux services usurpés.
La page de téléchargement propose un fichier APK piégé, hébergé sur l’infrastructure de MuddyWater. Une fois installé, l’application déploie sa charge malveillante et donne accès à l’ensemble des données stockées sur l’appareil : fichiers, contacts, messages, appels, localisation, identifiants enregistrés, enregistrements audio, photos. Toutes ces données sont chiffrées à l’aide d’un mot de passe transmis depuis le serveur de commande, puis transférées via SFTP vers les serveurs des opérateurs.
Sur le plan technique, DCHSpy partage plusieurs éléments avec SandStrike, un autre spyware Android utilisé en 2022 contre des membres de la communauté bahá’íe. Les deux malwares s’appuient sur une infrastructure commune, avec des serveurs de commande réutilisés pour déployer d’autres implants à distance, notamment des trojans de type RAT.
Sans grande surprise, les capacités du malware continuent de s’affiner. Les échantillons les plus récents montrent une meilleure détection des fichiers sensibles, ainsi qu’un module plus spécifique pour extraire les messages WhatsApp. Des évolutions qui s’inscrivent dans un contexte de tension renforcée après les frappes israéliennes sur l’Iran, et alors que le régime multiplie les dispositifs de surveillance numérique en parallèle des mesures de répression interne.
Comment ne pas tomber dans le panneau des faux VPN ?
Comme souvent, ce type de menace repose moins sur une faille technique que sur un relâchement des habitudes. Les victimes cliquent sur le lien malveillant parce qu’il est bien présenté, partagé dans un contexte de tensions, et associé à une appli censée renforcer la sécurité. L’illusion fonctionne d’autant mieux que le site imite parfaitement celui d’un service connu.
Pour éviter ce genre de piège, évitez tout fichier APK téléchargé en dehors du Play Store, sauf cas très particuliers, et vérifiez toujours les autorisations demandées à l’installation.
Plus largement, le choix d’un VPN ne devrait pas reposer uniquement sur un logo, un tarif ou une promesse marketing. Un fournisseur fiable se reconnaît à sa transparence technique, à sa politique de confidentialité, à la clarté de ses conditions d’utilisation, et à sa capacité à être audité de manière indépendante. Les services trop récents, peu documentés ou absents des stores officiels doivent toujours éveiller la méfiance.
Source : Lookout
