Usuários falantes de árabe se tornaram alvo de um novo spyware (programa espião) para Android batizado de Asin, segundo descobertas da ESET.
A empresa eslovaca de cibersegurança afirmou ter detectado pela primeira vez a propagação do malware por meio de múltiplas campanhas no início de 2025, com cada onda de ataque utilizando sites distintos que imitam utilitários, atualizações relacionadas à guerra e uma fonte de notícias governamental:
- govlens[.]net, que se passa por uma fonte de notícias governamental (registrado em 27 de maio de 2025)
- pdf-reader[.]help, que se passa por um editor seguro de PDF (formato de documento portátil) (registrado em 29 de maio de 2025)
- live-war-map[.]com, que afirma oferecer atualizações sobre incidentes militares (registrado em 20 de janeiro de 2025)
Dois desses sites - govlens[.]net e live-war-map[.]com - também foram divulgados por meio de contas dedicadas em plataformas de redes sociais como Facebook e Telegram:
- www.facebook[.]com/GovLens
- t[.]me/liveuamap_ar
"Cada um desses sites distribui um aplicativo malicioso que combina funcionalidades legítimas com capacidades ocultas de spyware", afirmou a ESET.
A empresa de cibersegurança observou que o nome do canal no Telegram é provavelmente inspirado no Live Universal Awareness Map (Liveuamap), uma plataforma legítima e bem conhecida, dedicada a mapear conflitos em andamento, questões de direitos humanos, desastres naturais e eventos geopolíticos em todo o mundo.
Desde então, múltiplos artefatos associados ao Asin foram identificados, incluindo um enviado ao VirusTotal (plataforma de análise de arquivos suspeitos) da Turquia em outubro de 2025, um APK (pacote de instalação do Android) baixado do domínio "c-pdf[.]net" em dezembro de 2025 por um usuário em um dispositivo Xiaomi Redmi Note 13 Pro rodando Android 15, e uma terceira amostra se passando por "Syria Defense Map" detectada em um dispositivo Xiaomi Redmi Note 13 Pro+ 5G rodando Android 15 em meados de janeiro de 2026.
No último caso, o APK teria sido baixado de um site chamado "syriadefensemap[.]com". Vale notar que o usuário precisa instalar manualmente o aplicativo e conceder as permissões necessárias para que o spyware alcance seus objetivos.
O agrupamento de atividades, segundo a ESET, permanece sem atribuição. Também não se sabe quais são os principais objetivos dessas campanhas. No entanto, com base nos atrativos utilizados, suspeita-se que jornalistas e pesquisadores de OSINT (inteligência de fontes abertas) em regiões de língua árabe possam ter sido alvo.
"Três dos cinco aplicativos fraudulentos que descobrimos - GovLens, WarMap e Syria Defense Map - parecem ser voltados principalmente para pessoas interessadas em investigação de código aberto", afirmou a empresa. "Assim, é possível que esse conjunto de atividades tenha sido, ao menos em parte, destinado a atingir jornalistas ou profissionais de OSINT de língua árabe."
Nenhum comentário publicado até agora.