Исследователи словацкой компании ESET зафиксировали новое семейство шпионского ПО для Android под кодовым названием Asin, нацеленное на арабоязычных пользователей. Вредонос распространяется через поддельные веб-сайты, имитирующие правительственные новостные ресурсы, утилиты для работы с PDF и интерактивные карты военных конфликтов. По предварительной оценке ESET, основными целями кампании могут быть журналисты и специалисты по разведке на основе открытых источников (OSINT) в арабоязычных регионах. Кампания остаётся неатрибутированной — связь с какой-либо известной группировкой не установлена.
Механизм распространения и инфраструктура
По данным исследователей, первые кампании по распространению Asin были обнаружены в начале 2025 года. Каждая волна атак использовала отдельные веб-сайты с тематическими приманками, рассчитанными на определённую аудиторию. Вредоносные приложения, распространяемые через эти сайты, сочетали реальную функциональность с скрытыми шпионскими возможностями — пользователь получал работающее приложение, не подозревая о слежке.
Идентифицированные домены инфраструктуры:
- live-war-map[.]com — имитация сервиса обновлений о военных инцидентах (зарегистрирован 20 января 2025 года)
- govlens[.]net — имитация правительственного новостного источника (зарегистрирован 27 мая 2025 года)
- pdf-reader[.]help — имитация защищённого PDF-редактора (зарегистрирован 29 мая 2025 года)
- c-pdf[.]net — дополнительный домен для распространения APK
- syriadefensemap[.]com — распространение приложения «Syria Defense Map»
Два из этих ресурсов — govlens[.]net и live-war-map[.]com — продвигались через специально созданные аккаунты в социальных сетях: страницу www.facebook[.]com/GovLens в Facebook и канал t[.]me/liveuamap_ar в Telegram. Название Telegram-канала, как отмечают исследователи, предположительно вдохновлено легитимной платформой Liveuamap — известным сервисом мониторинга конфликтов и геополитических событий по всему миру. Использование узнаваемого бренда повышало доверие потенциальных жертв к распространяемым ссылкам.
Обнаруженные артефакты и хронология
ESET идентифицировала несколько образцов Asin, позволяющих восстановить хронологию активности:
- Октябрь 2025 — образец загружен на VirusTotal из Турции
- Декабрь 2025 — APK загружен с домена c-pdf[.]net пользователем устройства Xiaomi Redmi Note 13 Pro под управлением Android 15
- Середина января 2026 — образец, маскирующийся под «Syria Defense Map», обнаружен на устройстве Xiaomi Redmi Note 13 Pro+ 5G с Android 15, загруженный с syriadefensemap[.]com
Всего исследователи выявили пять вредоносных приложений, три из которых — GovLens, WarMap и Syria Defense Map — ориентированы на людей, интересующихся расследованиями на основе открытых источников. Важная деталь: для заражения пользователь должен самостоятельно установить приложение и вручную предоставить ему необходимые разрешения. Это указывает на то, что цепочка заражения полностью построена на методах социальной инженерии, а не на эксплуатации технических уязвимостей.
Оценка целей и масштаба
ESET подчёркивает, что кампания остаётся неатрибутированной — ни одна известная APT-группировка не связана с этой активностью. Конечные цели операторов Asin также неизвестны. Однако характер приманок позволяет сделать предварительные выводы о целевой аудитории.
Три из пяти обнаруженных приложений напрямую связаны с тематикой, интересной для OSINT-сообщества: мониторинг конфликтов, правительственные новости, карты военных действий. Это даёт основания предполагать, что кампания, по крайней мере частично, направлена против арабоязычных журналистов и исследователей открытых источников. Данная категория специалистов представляет высокую ценность для разведывательных операций: компрометация их устройств потенциально открывает доступ к контактам источников, неопубликованным материалам расследований и методологии сбора информации.
География распространения охватывает как минимум арабоязычные регионы и Турцию, что подтверждается загрузкой образца на VirusTotal из этой страны.
Рекомендации по защите
Учитывая, что Asin распространяется исключительно через сторонние веб-сайты и требует ручной установки, основные меры защиты сосредоточены на предотвращении социальной инженерии:
- Не устанавливайте APK из сторонних источников — используйте только официальный Google Play Store. Если приложение недоступно в магазине, это серьёзный сигнал тревоги
- Проверяйте домены перед загрузкой: все выявленные вредоносные сайты использовали нестандартные домены (.help, .net, .com с нетипичными именами), не связанные с официальными организациями
- Критически оценивайте ссылки из Telegram и Facebook, особенно из каналов, имитирующих известные платформы вроде Liveuamap
- Проверяйте запрашиваемые разрешения: PDF-редактор или карта конфликтов не должны требовать доступ к SMS, микрофону или контактам
- Заблокируйте выявленные домены на уровне DNS или прокси-сервера: govlens[.]net, pdf-reader[.]help, live-war-map[.]com, c-pdf[.]net, syriadefensemap[.]com
- Журналистам и OSINT-исследователям рекомендуется использовать отдельное устройство для работы с потенциально опасными источниками и приложениями
Кампания Asin демонстрирует целенаправленный подход к компрометации конкретной профессиональной аудитории через тематически релевантные приманки. Организациям и специалистам, работающим с открытыми источниками в арабоязычных регионах, следует немедленно проверить корпоративные и личные устройства на наличие перечисленных доменов в истории браузера и сетевых логах, а также заблокировать указанные индикаторы компрометации на периметре сети.
