Découverte d’un nouveau logiciel espion Android, DCHSpy, utilisé pour cibler des utilisateurs recherchant l’anonymat en Iran, dans un contexte de tensions accrues entre l’Iran et Israël.

 

DCHSpy, un outil de surveillance numérique sophistiqué diffusé via de faux VPN

Les analyses menées par les chercheurs de Lookout ont permis de mettre au jour la campagne de diffusion de DCHSpy, un programme malveillant sophistiqué récemment découvert pour la première fois en juillet 2024. Selon les constatations, DCHSpy est associé au ministère du Renseignement et de la Sécurité de la République islamique d’Iran, connu sous le nom de MOIS. Ce logiciel espion aurait également des liens opérationnels avec la cellule MuddyWater, identifiée par les spécialistes comme un groupe agissant dans l’intérêt du gouvernement iranien. MuddyWater est aussi référencé sous plusieurs autres appellations telles que Boggy Serpens, Cobalt Ulster, TA450, Seedworm et Static Kitten dans les rapports internationaux.

DCHSpy se démarque par sa capacité à être intégré dans des applications prétendument légitimes, principalement des services VPN destinés à contourner la censure de l’Internet en Iran. Les experts ont recensé au moins quatre variantes du logiciel malveillant diffusées à peine une semaine après le début des hostilités récentes entre l’Iran et Israël. Les noms des applications trompeuses incluent notamment Earth VPN, Comodo VPN et Hide VPN. Les fichiers d’installation, ou APK, adoptent parfois des appellations comme « starlink_vpn(1.3.0)-3012 (1).apk », misant ainsi sur la popularité du service Starlink, le fournisseur de connectivité satellitaire développé par SpaceX. Cette utilisation du nom Starlink constitue un appât particulier depuis que ce service a été brièvement opérationnel en Iran, suite aux restrictions d’accès à Internet imposées par les autorités et à l’adoption ultérieure d’une loi interdisant son usage.

« DCHSpy collecte des données sensibles telles que les conversations WhatsApp, les contacts, les SMS, les fichiers, la géolocalisation, les journaux d’appels, les enregistrements audio et des photos prises à l’insu de l’utilisateur. »

Dès les premières phases de sa diffusion, DCHSpy s’est propagé principalement via des chaînes Telegram, en anglais et en persan, ciblant des personnes souhaitant échapper à la surveillance d’État. Les sujets abordés dans ces groupes allaient à l’encontre des positions officielles du régime, renforçant l’attrait pour ces VPN présentés comme moyens fiables d’obtenir un accès non filtré à Internet. Cette approche s’adresse en priorité à une population déjà vulnérable face à la surveillance gouvernementale, tels que les dissidents politiques, les journalistes et les défenseurs des droits humains.

Les chercheurs n’ont pas encore pu établir avec précision le nombre total de victimes. Cependant, les premières analyses indiquent une volonté claire de la part des opérateurs de DCHSpy de cibler des individus dont l’activité en ligne présente un intérêt pour le gouvernement iranien. La diffusion par liens malveillants, transmis directement via les messageries instantanées comme Telegram, offre aux attaquants la possibilité de viser spécifiquement certains groupes, tout en évitant l’exposition massive susceptible d’alerter les solutions de sécurité classiques.

 

Une menace persistante et adaptative dans le paysage de la cybersurveillance régionale

DCHSpy est conçu selon une architecture modulaire qui lui permet d’étendre ses fonctionnalités à distance et d’adapter ses modules selon les besoins des opérateurs. Le logiciel peut accéder à une large gamme d’informations personnelles, allant des échanges sur les applications de messagerie aux données de localisation. Il dispose également de capacités de prise de contrôle du micro et de la caméra du terminal infecté, permettant ainsi d’enregistrer sons et images à l’insu de la cible.

L’utilisation de la marque Starlink comme vecteur d’infection intervient dans un contexte particulier. Après l’introduction temporaire de la connectivité satellitaire Starlink en Iran, suite à l’intensification de la censure étatique, le parlement iranien a voté une législation interdisant l’usage de ce service sur le territoire. Cette interdiction, relayée dans les médias officiels, n’a pas empêché la multiplication d’applications se présentant comme des solutions pour accéder à Starlink, facilitant la diffusion de DCHSpy auprès d’une population avide de moyens de communication sécurisés.

Les investigations menées montrent que DCHSpy partage son infrastructure de commandement et de contrôle avec d’autres logiciels malveillants précédemment associés à MuddyWater. Cette infrastructure, souvent hébergée à l’étranger, est exploitée pour la gestion des données exfiltrées et la transmission des mises à jour du malware. Les fonctionnalités avancées de DCHSpy en font un outil de surveillance de choix pour les services de renseignement, qui peuvent ainsi surveiller de près les activités en ligne de leurs cibles tout en contournant les mesures de sécurité habituelles.

« DCHSpy se propage essentiellement via des liens malveillants transmis dans les messageries instantanées, une technique qui permet d’éviter la détection par les plateformes officielles de téléchargement d’applications. »

La distribution initiale de DCHSpy s’est faite de manière ciblée, privilégiant les groupes de discussion et forums fréquentés par des utilisateurs critiques envers les autorités. Ce mode opératoire, déjà observé dans d’autres campagnes de MuddyWater, permet de limiter la visibilité du malware et de maximiser ses chances d’infiltration auprès de cibles spécifiques. L’efficacité de cette stratégie repose sur la confiance accordée aux recommandations circulant dans ces réseaux fermés, ainsi que sur la difficulté pour les éditeurs d’applications officielles de repérer et bloquer la diffusion de ces fichiers APK non répertoriés.

L’évolution de DCHSpy témoigne de la capacité des acteurs soutenus par des États à adapter rapidement leurs méthodes aux événements géopolitiques régionaux. Le contexte de tension entre l’Iran et Israël a sans doute servi de catalyseur à la propagation accélérée du malware, les opérateurs cherchant à profiter de la confusion et du besoin accru de solutions de contournement de la censure.

À ce jour, aucun acteur de la cybersécurité n’a pu identifier avec certitude le nombre de terminaux compromis ni mesurer précisément l’ampleur des dégâts potentiels. Toutefois, les outils de collecte de données déployés par DCHSpy permettent d’envisager un risque élevé pour la vie privée et la sécurité des individus ciblés. Les données récupérées incluent des informations particulièrement sensibles, susceptibles d’être utilisées à des fins de répression ou de chantage, notamment contre les militants et les journalistes.