Forscher des slowakischen Unternehmens ESET dokumentierten eine neue Familie von Spionage-Software für Android mit dem Codenamen Asin, die auf arabischsprachige Nutzer abzielt. Die Schadsoftware wird über gefälschte Websites verbreitet, die Regierungsnachrichtenportale, PDF-Werkzeuge und interaktive Karten militärischer Konflikte imitieren. Nach einer ersten Einschätzung von ESET könnten Journalisten und Spezialisten für Open-Source-Intelligence (OSINT) in arabischsprachigen Regionen zu den Hauptzielen der Kampagne gehören. Die Kampagne bleibt nicht attribuiert – eine Verbindung zu einer bekannten Gruppe konnte nicht hergestellt werden.
Verbreitungsmechanismus und Infrastruktur
Nach Angaben der Forscher wurden die ersten Kampagnen zur Verbreitung von Asin Anfang 2025 entdeckt. Jede Angriffswelle nutzte eigene Websites mit thematischen Ködern, die auf eine bestimmte Zielgruppe zugeschnitten waren. Die über diese Seiten verbreiteten schädlichen Anwendungen kombinierten echte Funktionalität mit versteckten Spionagefunktionen – der Nutzer erhielt eine funktionsfähige App, ohne die Überwachung zu bemerken.
Identifizierte Infrastruktur-Domains:
- live-war-map[.]com — Imitation eines Dienstes für Updates zu militärischen Zwischenfällen (registriert am 20. Januar 2025)
- govlens[.]net — Imitation einer staatlichen Nachrichtenquelle (registriert am 27. Mai 2025)
- pdf-reader[.]help — Imitation eines sicheren PDF-Editors (registriert am 29. Mai 2025)
- c-pdf[.]net — zusätzliche Domain zur Verbreitung von APK
- syriadefensemap[.]com — Verbreitung der Anwendung „Syria Defense Map“
Zwei dieser Ressourcen – govlens[.]net und live-war-map[.]com – wurden über speziell angelegte Accounts in sozialen Netzwerken beworben: die Facebook-Seite www.facebook[.]com/GovLens und den Telegram-Kanal t[.]me/liveuamap_ar. Der Name des Telegram-Kanals ist, wie die Forscher anmerken, vermutlich von der legitimen Plattform Liveuamap inspiriert – einem bekannten Dienst zur Beobachtung von Konflikten und geopolitischen Ereignissen weltweit. Die Nutzung einer wiedererkennbaren Marke erhöhte das Vertrauen potenzieller Opfer in die verbreiteten Links.
Gefundene Artefakte und Chronologie
ESET identifizierte mehrere Asin-Samples, anhand derer sich die zeitliche Abfolge der Aktivität rekonstruieren lässt:
- Oktober 2025 — ein Sample wird aus der Türkei auf VirusTotal hochgeladen
- Dezember 2025 — eine APK wird von der Domain c-pdf[.]net auf ein Gerät vom Typ Xiaomi Redmi Note 13 Pro mit Android 15 heruntergeladen
- Mitte Januar 2026 — ein Sample, das sich als „Syria Defense Map“ tarnt, wird auf einem Gerät Xiaomi Redmi Note 13 Pro+ 5G mit Android 15 entdeckt, heruntergeladen von syriadefensemap[.]com
Insgesamt identifizierten die Forscher fünf bösartige Anwendungen, von denen drei — GovLens, WarMap und Syria Defense Map — auf Personen ausgerichtet sind, die sich für Recherchen auf Basis offener Quellen interessieren. Ein wichtiges Detail: Für eine Infektion muss der Nutzer die Anwendung selbst installieren und ihr manuell die erforderlichen Berechtigungen erteilen. Das weist darauf hin, dass die Infektionskette vollständig auf Methoden des Social Engineering und nicht auf die Ausnutzung technischer Schwachstellen setzt.
Einschätzung von Zielen und Umfang
ESET betont, dass die Kampagne nicht attribuiert bleibt – keine bekannte APT-Gruppe wird mit dieser Aktivität in Verbindung gebracht. Die endgültigen Ziele der Betreiber von Asin sind ebenfalls unbekannt. Der Charakter der Köder erlaubt jedoch erste Schlussfolgerungen zur Zielgruppe.
Drei der fünf entdeckten Anwendungen stehen in direktem Zusammenhang mit Themen, die für die OSINT-Community interessant sind: Konfliktmonitoring, Regierungsnachrichten, Karten militärischer Operationen. Das gibt Anlass zu der Vermutung, dass sich die Kampagne zumindest teilweise gegen arabischsprachige Journalisten und Forscher offener Quellen richtet. Diese Kategorie von Spezialisten besitzt für nachrichtendienstliche Operationen einen hohen Wert: Die Kompromittierung ihrer Geräte kann potenziell Zugang zu Kontaktpersonen von Quellen, unveröffentlichten Recherchematerien und Methoden der Informationsbeschaffung eröffnen.
Die geographische Verbreitung umfasst mindestens arabischsprachige Regionen und die Türkei, was durch das Hochladen eines Samples aus diesem Land auf VirusTotal bestätigt wird.
Empfehlungen zum Schutz
Angesichts der Tatsache, dass Asin ausschließlich über Drittwebsites verbreitet wird und eine manuelle Installation erfordert, konzentrieren sich die wichtigsten Schutzmaßnahmen auf die Verhinderung von Social Engineering:
- Installieren Sie keine APK aus Drittquellen — nutzen Sie ausschließlich den offiziellen Google Play Store. Ist eine Anwendung dort nicht verfügbar, ist dies ein ernstzunehmendes Warnsignal
- Prüfen Sie die Domains vor dem Download: Alle identifizierten bösartigen Websites nutzten ungewöhnliche Domains (.help, .net, .com mit atypischen Namen), die nicht mit offiziellen Organisationen verbunden sind
- Bewerten Sie Links aus Telegram und Facebook kritisch, insbesondere aus Kanälen, die bekannte Plattformen wie Liveuamap imitieren
- Überprüfen Sie die angeforderten Berechtigungen: Ein PDF-Editor oder eine Konfliktkarte sollte keinen Zugriff auf SMS, Mikrofon oder Kontakte verlangen
- Blockieren Sie die identifizierten Domains auf DNS- oder Proxy-Ebene: govlens[.]net, pdf-reader[.]help, live-war-map[.]com, c-pdf[.]net, syriadefensemap[.]com
- Journalisten und OSINT-Forschern wird empfohlen, ein separates Gerät für die Arbeit mit potenziell gefährlichen Quellen und Anwendungen zu verwenden
Die Asin-Kampagne demonstriert einen gezielten Ansatz zur Kompromittierung einer bestimmten professionellen Zielgruppe durch thematisch relevante Köder. Organisationen und Spezialisten, die in arabischsprachigen Regionen mit offenen Quellen arbeiten, sollten umgehend prüfen, ob die genannten Domains in der Browser-Historie und in Netzwerkmitschnitten auftauchen, und die genannten Indikatoren einer Kompromittierung zusätzlich am Netzperimeter blockieren.
