Los usuarios de habla árabe han sido atacados por un nuevo software espía de Android con nombre en código Asin, según descubrió ESET.
Una empresa eslovaca de ciberseguridad dijo que detectó por primera vez el malware propagado a través de múltiples campañas a principios de 2025, y que cada ola de ataques utilizaba sitios web separados que imitaban obras públicas, actualizaciones relacionadas con la guerra y fuentes de noticias gubernamentales.
govlens(.)net, haciéndose pasar por una fuente de noticias del gobierno (registrado el 27 de mayo de 2025) pdf-reader(.)help, haciéndose pasar por un editor de PDF seguro (registrado el 29 de mayo de 2025) live-war-map(.)com, que afirma proporcionar información actualizada sobre eventos militares (registrado el 20 de enero de 2025)
Dos de estos sitios web, govlens(.)net y live-war-map(.)com, se vendieron a través de cuentas dedicadas en plataformas de redes sociales como Facebook y Telegram.
www.facebook(.)com/GovLens t(.)me/liveuamap_ar
«Cada uno de estos sitios web distribuye aplicaciones maliciosas que combinan funciones de software espía legítimas y ocultas», dijo ESET.
La empresa de ciberseguridad señaló que el nombre del canal Telegram probablemente se inspiró en Live Universal Awareness Map (Liveuamap), una plataforma legítima y conocida dedicada a mapear conflictos en curso, cuestiones de derechos humanos, desastres naturales y eventos geopolíticos en todo el mundo.
Desde entonces se han identificado múltiples artefactos relacionados con Asin, incluido uno subido a VirusTotal por Türkiye en octubre de 2025, un APK descargado del dominio “c-pdf(.)net” en diciembre de 2025 por un usuario de un dispositivo Xiaomi Redmi Note 13 Pro con Android 15 y un Xiaomi Redmi Note 13 Pro+ 5G. Contiene una tercera muestra que se hace pasar por «Mapa de defensa de Siria» detectada en los dispositivos. Android 15 se lanzará a mediados de enero de 2026.
En el último caso, el APK supuestamente se descargó de un sitio web llamado «syriadefensemap(.)com». Tenga en cuenta que los usuarios deben instalar manualmente la aplicación y otorgar los permisos necesarios para que el software espía logre sus objetivos.
Según ESET, el grupo de actividades sigue sin resolverse. El objetivo principal de estas campañas tampoco está claro. Sin embargo, según los señuelos utilizados, se sospecha que periodistas de habla árabe e investigadores del OSINT pueden haber sido el objetivo.
«Tres de las cinco aplicaciones maliciosas que descubrimos (GovLens, WarMap y Syry Defense Map) parecen estar dirigidas principalmente a personas interesadas en la investigación de código abierto», dijo la compañía. «Por lo tanto, parece que esta serie de actividades puede haber tenido como objetivo, al menos en parte, a periodistas de habla árabe y profesionales de OSINT».
Source link
