Los investigadores de la empresa eslovaca ESET han identificado una nueva familia de software espía para Android con el nombre en clave Asin, dirigida a usuarios arabófonos. El malware se distribuye a través de sitios web falsos que imitan recursos de noticias gubernamentales, utilidades para trabajar con archivos PDF y mapas interactivos de conflictos militares. Según la evaluación preliminar de ESET, los principales objetivos de la campaña podrían ser periodistas y especialistas en inteligencia de fuentes abiertas (OSINT) en regiones de habla árabe. La campaña sigue sin atribuirse: no se ha establecido relación con ningún grupo conocido.
Mecanismo de distribución e infraestructura
Según los investigadores, las primeras campañas de distribución de Asin se detectaron a comienzos de 2025. Cada oleada de ataques utilizaba sitios web separados con cebos temáticos diseñados para un público específico. Las aplicaciones maliciosas distribuidas a través de estos sitios combinaban funcionalidades legítimas con capacidades de espionaje ocultas: el usuario recibía una aplicación operativa, sin sospechar que estaba siendo vigilado.
Dominios de la infraestructura identificados:
- live-war-map[.]com — imitación de un servicio de actualizaciones sobre incidentes bélicos (registrado el 20 de enero de 2025)
- govlens[.]net — imitación de una fuente de noticias gubernamentales (registrado el 27 de mayo de 2025)
- pdf-reader[.]help — imitación de un editor de PDF supuestamente seguro (registrado el 29 de mayo de 2025)
- c-pdf[.]net — dominio adicional para la distribución de APK
- syriadefensemap[.]com — distribución de la aplicación «Syria Defense Map»
Dos de estos recursos —govlens[.]net y live-war-map[.]com— se promocionaban a través de cuentas creadas específicamente en redes sociales: la página www.facebook[.]com/GovLens en Facebook y el canal t[.]me/liveuamap_ar en Telegram. El nombre del canal de Telegram, señalan los investigadores, probablemente se inspiró en la plataforma legítima Liveuamap, un conocido servicio de seguimiento de conflictos y acontecimientos geopolíticos en todo el mundo. El uso de una marca reconocible aumentaba la confianza de las potenciales víctimas en los enlaces distribuidos.
Artefactos detectados y cronología
ESET identificó varias muestras de Asin que permiten reconstruir la cronología de la actividad:
- Octubre de 2025 — muestra cargada en VirusTotal desde Turquía
- Diciembre de 2025 — APK descargado desde el dominio c-pdf[.]net por un usuario de un dispositivo Xiaomi Redmi Note 13 Pro con Android 15
- Mitad de enero de 2026 — muestra que se hacía pasar por «Syria Defense Map», detectada en un dispositivo Xiaomi Redmi Note 13 Pro+ 5G con Android 15, descargada desde syriadefensemap[.]com
En total, los investigadores descubrieron cinco aplicaciones maliciosas, tres de las cuales —GovLens, WarMap y Syria Defense Map— están orientadas a personas interesadas en investigaciones basadas en fuentes abiertas. Un detalle importante: para que se produzca la infección, el usuario debe instalar la aplicación por su cuenta y concederle manualmente los permisos necesarios. Esto indica que la cadena de infección se basa por completo en métodos de ingeniería social, y no en la explotación de vulnerabilidades técnicas.
Evaluación de objetivos y alcance
ESET subraya que la campaña sigue sin atribuirse: ninguna APT conocida se ha vinculado a esta actividad. Los objetivos finales de los operadores de Asin también se desconocen. Sin embargo, la naturaleza de los cebos permite extraer algunas conclusiones preliminares sobre el público objetivo.
Tres de las cinco aplicaciones descubiertas están directamente relacionadas con temáticas de interés para la comunidad OSINT: seguimiento de conflictos, noticias gubernamentales y mapas de operaciones militares. Esto da motivos para suponer que la campaña, al menos en parte, está dirigida contra periodistas e investigadores de fuentes abiertas arabófonos. Esta categoría de especialistas tiene un alto valor para las operaciones de inteligencia: comprometer sus dispositivos abre potencialmente el acceso a contactos de fuentes, materiales de investigación inéditos y metodologías de recopilación de información.
La geografía de la distribución abarca, como mínimo, regiones de habla árabe y Turquía, lo que se confirma por la carga de una muestra en VirusTotal desde este país.
Recomendaciones de protección
Teniendo en cuenta que Asin se distribuye exclusivamente a través de sitios web de terceros y requiere instalación manual, las principales medidas de protección se centran en prevenir la ingeniería social:
- No instale APK desde fuentes de terceros: utilice solo Google Play Store oficial. Si una aplicación no está disponible en la tienda, es una seria señal de alarma
- Verifique los dominios antes de descargar: todos los sitios maliciosos identificados utilizaban dominios poco habituales (.help, .net, .com con nombres atípicos), sin relación con organizaciones oficiales
- Evalúe críticamente los enlaces procedentes de Telegram y Facebook, especialmente de canales que imitan plataformas conocidas como Liveuamap
- Revise los permisos solicitados: un editor de PDF o un mapa de conflictos no deberían requerir acceso a SMS, micrófono o contactos
- Bloquee los dominios identificados a nivel de DNS o servidor proxy: govlens[.]net, pdf-reader[.]help, live-war-map[.]com, c-pdf[.]net, syriadefensemap[.]com
- Se recomienda a periodistas e investigadores OSINT utilizar un dispositivo separado para trabajar con fuentes y aplicaciones potencialmente peligrosas
La campaña Asin demuestra un enfoque dirigido a comprometer a una audiencia profesional concreta mediante cebos temáticamente relevantes. Las organizaciones y especialistas que trabajan con fuentes abiertas en regiones arabófonas deberían comprobar de inmediato dispositivos corporativos y personales en busca de la presencia de los dominios mencionados en el historial del navegador y en los registros de red, así como bloquear estos indicadores de compromiso en el perímetro de la red.
