Pesquisadores da ESET identificaram o spyware Android Asin, direcionado a usuários de língua árabe. O malware é distribuído por apps falsas que simulam notícias governamentais e mapas de conflitos. A campanha, ativa desde 2025, tem jornalistas e analistas de OSINT como possíveis alvos.
Asin combina funcionalidades legítimas com recursos de espionagem, tornando a detecção pelo usuário mais difícil. O spyware solicita permissões que permitem acessar contatos, mensagens, localização e arquivos do dispositivo, operando de forma silenciosa em segundo plano.
Como o spyware funciona
A distribuição do Asin segue um padrão de engenharia social sofisticado. Os atacantes criam sites que imitam serviços legítimos e promovem os aplicativos falsos por meio de contas no Facebook e canais no Telegram. Um dos canais no Telegram se inspira no nome da plataforma Live Universal Awareness Map (Liveuamap), serviço legítimo de mapeamento de conflitos.
Depois de instalado manualmente pela vítima, o aplicativo solicita permissões extensivas. Uma vez concedidas, o spyware coleta dados do dispositivo e os transmite para servidores controlados pelos atacantes. As amostras identificadas no VirusTotal incluem variantes detectadas na Turquia e em dispositivos Xiaomi Redmi Note 13 Pro com Android 15, meses após o Google corrigir zero-day ativo no Android em junho.
Sites usados na campanha
ESET identificou cinco domínios usados para distribuir o Asin. A tabela abaixo resume os disfarces e períodos de registro:
| Domínio | Disfarce | Registro |
|---|---|---|
| govlens[.]net | Fonte de notícias governamental | Maio 2025 |
| pdf-reader[.]help | Editor de PDF seguro | Maio 2025 |
| live-war-map[.]com | Mapa de conflitos ao vivo | Janeiro 2025 |
| syriadefensemap[.]com | Mapa de defesa da Síria | Janeiro 2026 |
| c-pdf[.]net | Leitor de PDF | Dezembro 2025 |
Suspeita recai sobre jornalistas
Três dos cinco aplicativos fraudulentos — GovLens, WarMap e Syria Defense Map — parecem destinados a pessoas interessadas em investigação de fontes abertas (OSINT). A ESET avalia que a campanha pode ter como alvo jornalistas e praticantes de OSINT em regiões de língua árabe. O grupo responsável permanece sem atribuição.
O uso de temas relacionados a conflitos militares como isca reforça a hipótese de espionagem direcionada. A campanha explora o interesse legítimo de profissionais que acompanham zonas de tensão no Oriente Médio e Norte da África.
Como se proteger
Evite instalar aplicativos de fontes fora da Google Play Store ou de lojas oficiais. Verifique sempre o desenvolvedor do app e busque avaliações antes de baixar. No Android, ative a verificação de segurança do Google Play Protect e mantenha o sistema operacional atualizado. Se instalou algum dos apps mencionados, desinstale-o imediatamente, revogue todas as permissões concedidas e execute uma verificação completa com uma solução de segurança móvel confiável.
Jornalistas e pesquisadores que atuam em zonas de conflito devem adotar comunicação criptografada e evitar instalar apps promocionados via redes sociais sem verificação cruzada da fonte original. Conhecer os tipos de malware e seus comportamentos ajuda a identificar sinais de comprometimento.