Logiciel malveillant mobile DCHSpy

Des chercheurs en cybersécurité ont récemment découvert une nouvelle vague de logiciels espions Android, soupçonnés d'être liés au ministère iranien du Renseignement et de la Sécurité (MOIS). Ce logiciel espion, connu sous le nom de DCHSpy, est diffusé en se faisant passer pour des services VPN légitimes, voire pour Starlink, le service Internet par satellite exploité par SpaceX. Cette campagne coïncide avec l'exacerbation des tensions suite au conflit israélo-iranien de juin 2025.

L’émergence de DCHSpy

Les chercheurs ont détecté DCHSpy pour la première fois en juillet 2024. L'outil est attribué à MuddyWater, un groupe de piratage iranien soutenu par l'État qui opère sous divers pseudonymes, notamment Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anciennement Mercury), Seedworm, Static Kitten, TA450 et Yellow Nix.

Les premières versions de DCHSpy ont été identifiées comme ciblant les anglophones et les farsi via des comptes Telegram, utilisant des thèmes critiques envers le régime iranien. Les attaquants ciblaient principalement les dissidents, les journalistes et les militants en les attirant avec des services VPN apparemment fiables.

Capacités techniques de DCHSpy

DCHSpy est un cheval de Troie modulaire conçu pour collecter des données sensibles sur les appareils infectés. Ses fonctionnalités incluent :

• Collecte de données WhatsApp, de contacts, de messages SMS et de journaux d'appels
• Extraction des comptes connectés à l'appareil
• Accéder aux fichiers et aux données de localisation
• Enregistrement du son ambiant et capture de photos

Le logiciel malveillant est également capable de maintenir une surveillance persistante sur la victime, transformant ainsi efficacement l’appareil compromis en un outil d’espionnage.

Tactiques de distribution trompeuses

Les dernières variantes de DCHSpy se propagent sous le couvert de services VPN populaires, notamment :

• VPN Terre (com.earth.earth_vpn)
• Comodo VPN (com.comodoapp.comodovpn)
• Masquer le VPN (com.hv.hide_vpn)

Un exemple notable est l'échantillon Earth VPN, qui a été trouvé en circulation sous la forme d'un APK nommé « starlink_vpn(1.3.0)-3012 (1).apk », indiquant que les attaquants utilisent des thèmes liés à Starlink comme leurres.

Le timing est stratégique : le service Internet de Starlink a été lancé en Iran en juin 2025, lors d'une coupure d'Internet imposée par le gouvernement. Cependant, le service a été interdit quelques semaines plus tard par le Parlement iranien en raison d'opérations non autorisées, ce qui en fait un appât attrayant pour les personnes ciblées en quête d'une connexion illimitée.

Liens avec les campagnes précédentes

DCHSpy partage son infrastructure avec SandStrike, un autre logiciel espion Android signalé en novembre 2022 pour avoir ciblé les persanophones via de fausses applications VPN. Comme SandStrike, DCHSpy est distribué via des URL malveillantes partagées directement via des applications de messagerie comme Telegram.

Cette nouvelle découverte ajoute DCHSpy à une liste croissante de campagnes de logiciels espions visant des cibles du Moyen-Orient, qui comprend déjà AridSpy, BouldSpy, GuardZoo, RatMilad et SpyNote.

Escalade au milieu des conflits régionaux

La résurgence de DCHSpy reflète l'investissement continu d'acteurs soutenus par l'Iran dans les opérations d'espionnage. Son déploiement s'inscrit dans le cadre des efforts de l'Iran pour renforcer son contrôle de l'information et surveiller les dissidents, notamment après le récent cessez-le-feu avec Israël. Le développement continu de ces logiciels malveillants met en évidence l'évolution des menaces numériques dans la région.