Дослідники словацької компанії ESET зафіксували нове сімейство шпигунського ПЗ для Android під кодовою назвою Asin, націлене на арабомовних користувачів. Шкідник поширюється через підроблені вебсайти, що імітують урядові новинні ресурси, утиліти для роботи з PDF та інтерактивні карти воєнних конфліктів. За попередньою оцінкою ESET, основними цілями кампанії можуть бути журналісти та фахівці з розвідки на основі відкритих джерел (OSINT) в арабомовних регіонах. Кампанія залишається неатрибутованою — зв’язок із будь-яким відомим угрупованням не встановлено.
Механізм поширення та інфраструктура
За даними дослідників, перші кампанії з поширення Asin були виявлені на початку 2025 року. Кожна хвиля атак використовувала окремі вебсайти з тематичними приманками, розрахованими на певну аудиторію. Шкідливі застосунки, що поширювалися через ці сайти, поєднували реальну функціональність із прихованими шпигунськими можливостями — користувач отримував робочий застосунок, не підозрюючи про стеження.
Ідентифіковані домени інфраструктури:
- live-war-map[.]com — імітація сервісу оновлень про воєнні інциденти (зареєстрований 20 січня 2025 року)
- govlens[.]net — імітація урядового новинного ресурсу (зареєстрований 27 травня 2025 року)
- pdf-reader[.]help — імітація захищеного PDF-редактора (зареєстрований 29 травня 2025 року)
- c-pdf[.]net — додатковий домен для поширення APK
- syriadefensemap[.]com — поширення застосунку «Syria Defense Map»
Два з цих ресурсів — govlens[.]net і live-war-map[.]com — просувалися через спеціально створені акаунти в соціальних мережах: сторінку www.facebook[.]com/GovLens у Facebook і канал t[.]me/liveuamap_ar у Telegram. Назва Telegram-каналу, як зазначають дослідники, імовірно натхнена легітимною платформою Liveuamap — відомим сервісом моніторингу конфліктів і геополітичних подій у всьому світі. Використання впізнаваного бренду підвищувало довіру потенційних жертв до поширюваних посилань.
Виявлені артефакти та хронологія
ESET ідентифікувала кілька зразків Asin, що дало змогу відновити хронологію активності:
- Жовтень 2025 — зразок завантажено на VirusTotal з Туреччини
- Грудень 2025 — APK завантажено з домену c-pdf[.]net користувачем пристрою Xiaomi Redmi Note 13 Pro під керуванням Android 15
- Середина січня 2026 — зразок, що маскується під «Syria Defense Map», виявлено на пристрої Xiaomi Redmi Note 13 Pro+ 5G з Android 15, завантажений із syriadefensemap[.]com
Загалом дослідники виявили п’ять шкідливих застосунків, три з яких — GovLens, WarMap і Syria Defense Map — орієнтовані на людей, які цікавляться розслідуваннями на основі відкритих джерел. Важлива деталь: для зараження користувач має самостійно встановити застосунок і вручну надати йому необхідні дозволи. Це вказує на те, що ланцюжок зараження повністю побудований на методах соціальної інженерії, а не на експлуатації технічних вразливостей.
Оцінка цілей та масштабу
ESET наголошує, що кампанія залишається неатрибутованою — жодне відоме APT-угруповання не пов’язане з цією активністю. Кінцеві цілі операторів Asin також невідомі. Втім, характер приманок дає змогу зробити попередні висновки щодо цільової аудиторії.
Три з п’яти виявлених застосунків безпосередньо пов’язані з тематикою, цікавою для OSINT-спільноти: моніторинг конфліктів, урядові новини, карти воєнних дій. Це дає підстави припускати, що кампанія принаймні частково спрямована проти арабомовних журналістів і дослідників відкритих джерел. Така категорія фахівців має високу цінність для розвідувальних операцій: компрометація їхніх пристроїв потенційно відкриває доступ до контактів джерел, неопублікованих матеріалів розслідувань і методології збору інформації.
Географія поширення охоплює щонайменше арабомовні регіони та Туреччину, що підтверджується завантаженням зразка на VirusTotal з цієї країни.
Рекомендації щодо захисту
З огляду на те, що Asin поширюється виключно через сторонні вебсайти й потребує ручного встановлення, основні заходи захисту зосереджуються на запобіганні атакам соціальної інженерії:
- Не встановлюйте APK зі сторонніх джерел — користуйтеся лише офіційним Google Play Store. Якщо застосунок недоступний у магазині, це серйозний тривожний сигнал
- Перевіряйте домени перед завантаженням: усі виявлені шкідливі сайти використовували нетипові домени (.help, .net, .com з нетиповими назвами), не пов’язані з офіційними організаціями
- Критично ставтеся до посилань із Telegram та Facebook, особливо з каналів, що імітують відомі платформи на кшталт Liveuamap
- Перевіряйте дозволи, які запитує застосунок: PDF-редактор або карта конфліктів не повинні вимагати доступу до SMS, мікрофона чи контактів
- Заблокуйте виявлені домени на рівні DNS або проксі-сервера: govlens[.]net, pdf-reader[.]help, live-war-map[.]com, c-pdf[.]net, syriadefensemap[.]com
- Журналістам і OSINT-дослідникам рекомендується використовувати окремий пристрій для роботи з потенційно небезпечними джерелами та застосунками
Кампанія Asin демонструє цілеспрямований підхід до компрометації конкретної професійної аудиторії за допомогою тематично релевантних приманок. Організаціям і фахівцям, які працюють з відкритими джерелами в арабомовних регіонах, слід негайно перевірити корпоративні та особисті пристрої на наявність перелічених доменів в історії браузера й мережевих логах, а також заблокувати вказані індикатори компрометації на мережевому периметрі.
