СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.10.2025
#Dev#ИБ#Инфра

DHCSpy: маскированный VPN-шпион MuddyWater для Android

DHCSpy: маскированный VPN-шпион MuddyWater для Android

Источник: shindan.io

DHCSpy — это сложная программа‑шпион для Android, приписываемая иранской APT‑группировке MuddyWater. Замаскированная под VPN‑приложение, она использует модифицированный код OpenVPN для скрытого сбора конфиденциальных данных с устройств пользователей и работает в фоновом режиме после запуска якобы легитимного VPN‑сервиса.

Маскировка и первоначальная активность

Приложение имитирует подлинный VPN‑клиент: в системе оно регистрирует имя пакета com.earth.earth_vpn и версии, создающие впечатление легитимного продукта. При первом запуске проводятся необходимые шаги настройки как для работы VPN, так и для подготовки функций эксфильтрации данных. Важные технические особенности:

  • модифицированный исходный код OpenVPN для выполнения скрытых задач;
  • широкий набор запрашиваемых разрешений, включая доступ к спискам контактов, файлам WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и другим личным носителям;
  • активация вредоносного функционала именно при запуске VPN‑сессии пользователем.

Механизм работы и взаимодействие с C2

После запуска DHCSpy устанавливает соединение с сервером управления (C2) для проверки состояния VPN и получения команд или конфигурации. В зависимости от ответа может быть инициирована последовательность подключения или переход к основным функциям сбора и эксфильтрации данных.

  • Полученная полезная нагрузка OpenVPN анализируется на предмет параметров и безопасности.
  • Создаётся временный профиль VPN, облегчая дальнейший сбор данных с устройства.
  • Функциональность оркестрируется в рамках класса OpenVPN Service, который управляет как сетевыми операциями, так и действиями по перечислению аккаунтов и краже файлов.

Адаптация под конкретные устройства и дополнительные возможности

DHCSpy демонстрирует адаптированное поведение в зависимости от модели устройства. Так, для устройств Xiaomi внедрена функция автозапуска, использующая вендор‑специфичные возможности Android для поддержания постоянной работы вредоносного ПО.

Дополнительные тесты внутри вредоносного кода указывают на сбор сетевой и географической информации:

  • поиск внешнего IP‑адреса;
  • тесты подключения;
  • возможный сбор географических данных и характеристик сети скомпрометированного устройства.

Признаки разработки и недоработки

Некоторые элементы кода DHCSpy выглядят как незавершённые: присутствуют неиспользуемые сегменты и неактивная структура базы данных, предназначенная для ведения статистики использования сети. Это позволяет предположить, что проект всё ещё находится в разработке и может получать дальнейшие улучшения.

Угрозы для пользователей и контекст

Техническое поведение DHCSpy подчёркивает его возможности по тайному сбору данных и анализу сетевых условий, что представляет значительную угрозу личной безопасности и неприкосновенности частной жизни. Риск особенно высок в геополитически чувствительных контекстах — в отчёте прямо упоминается ситуация, связанная с продолжающимся израильско‑иранским конфликтом, где такие инструменты могут применяться для целенаправленной слежки и сбора разведданных.

«Приложение имитирует законный VPN‑сервис с именем пакета «com.earth.earth_vpn» и версиями, предполагающими имперсонацию подлинных VPN‑приложений.»

Рекомендации по защите

Появление таких продвинутых инструментов требует повышенной бдительности. Рекомендации для пользователей и администраторов мобильных устройств:

  • не устанавливайте приложения из непроверенных источников и внимательно проверяйте разрешения перед установкой;
  • предпочитайте официальные магазины приложений и проверенные VPN‑сервисы;
  • ограничьте автозапуск приложений и возможности фоновой работы для непроверенных программ;
  • используйте современные решения мобильной безопасности и регулярно обновляйте ОС и приложения;
  • проводите аудит установленных VPN‑клиентов и мониторинг сетевой активности для выявления подозрительных соединений с неизвестными C2.

Вывод

DHCSpy — это хорошо замаскированный и технически продвинутый инструмент слежки, сочетающий в себе возможности модифицированного OpenVPN и функционал для кражи данных. Его адаптация под конкретные устройства и тесты сетевых характеристик делают его серьёзной угрозой приватности. С учётом возможной причастности MuddyWater и геополитического контекста, обнаружение и нейтрализация подобных решений требуют принятия скоординированных мер безопасности со стороны пользователей и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: