Arabischsprekende gebruikers zijn het doelwit geworden van een nieuwe Android-spyware met de codenaam Asinvolgens bevindingen van ESET.
Het Slowaakse cyberbeveiligingsbedrijf zei dat het begin 2025 voor het eerst de verspreiding van malware via meerdere campagnes ontdekte, waarbij elke aanvalsgolf gebruik maakte van verschillende websites die hulpprogramma’s nabootsten, oorlogsgerelateerde updates en een nieuwsbron van de overheid:
- govlens(.)net, dat zich voordoet als een nieuwsbron van de overheid (geregistreerd op 27 mei 2025)
- pdf-reader(.)help, die zich voordoet als een beveiligde PDF-editor (geregistreerd op 29 mei 2025)
- live-war-map(.)com, dat beweert updates te bieden over militaire incidenten (geregistreerd op 20 januari 2025)
Twee van deze websites – govlens(.)net en live-war-map(.)com – werden ook op de markt gebracht via speciale accounts op sociale mediaplatforms zoals Facebook en Telegram –
- www.facebook(.)com/GovLens
- t(.)me/liveuamap_ar
“Elk van deze websites verspreidt een kwaadaardige app die legitieme functionaliteit combineert met heimelijke spywaremogelijkheden”, aldus ESET.
Het cyberbeveiligingsbedrijf merkte op dat de naam van het Telegram-kanaal waarschijnlijk is geïnspireerd op Live Universal Awareness Map (Liveuamap), een legitiem, bekend platform dat zich toelegt op het in kaart brengen van aanhoudende conflicten, mensenrechtenkwesties, natuurrampen en geopolitieke gebeurtenissen over de hele wereld.
Sindsdien zijn meerdere artefacten geïdentificeerd die verband houden met Asin, waaronder een die in oktober 2025 vanuit Türkiye naar VirusTotal is geüpload, een APK die in december 2025 is gedownload van het domein “c-pdf(.)net” door een gebruiker op een Xiaomi Redmi Note 13 Pro-apparaat met Android 15, en een derde voorbeeld dat zich voordoet als “Syria Defense Map” gedetecteerd op een Xiaomi Redmi Note 13 Pro+ 5G-apparaten met Android 15 in de buurt. medio januari 2026.
In het laatste geval zou de APK zijn gedownload van een website genaamd “syriadefensemap(.)com.” Het is vermeldenswaard dat de gebruiker de app handmatig moet installeren en de benodigde machtigingen moet verlenen zodat de spyware zijn doelen kan verwezenlijken.
Het activiteitencluster blijft volgens ESET ongeattribueerd. Het is ook niet bekend wat de primaire doelstellingen van deze campagnes zijn. Op basis van het gebruikte kunstaas wordt echter vermoed dat journalisten en OSINT-onderzoekers in Arabischsprekende regio’s mogelijk het doelwit waren.
“Drie van de vijf frauduleuze apps die we hebben ontdekt – GovLens, WarMap en Syria Defense Map – lijken in de eerste plaats bedoeld voor mensen die geïnteresseerd zijn in open-sourceonderzoek”, aldus het bedrijf. “Het lijkt dus mogelijk dat deze reeks activiteiten, althans gedeeltelijk, bedoeld was om Arabisch sprekende journalisten of OSINT-beoefenaars te targeten.”
