Los usuarios de habla árabe se han convertido en el objetivo de un nuevo software espía de Android con nombre en código Asínde acuerdo a recomendaciones de ESET.
La empresa eslovaca de ciberseguridad dijo que detectó por primera vez el malware propagado a través de múltiples campañas a principios de 2025, y que cada ola de ataque hacía uso de distintos sitios web que imitaban utilidades, actualizaciones relacionadas con la guerra y una fuente de noticias del gobierno:
- gobernar[.]net, que se hace pasar por una fuente de noticias del gobierno (registrado el 27 de mayo de 2025)
- lector de pdf[.]ayuda, que se hace pasar por un editor de PDF seguro (registrado el 29 de mayo de 2025)
- mapa-de-guerra-en-vivo[.]com, que afirma ofrecer actualizaciones sobre incidentes militares (registrado el 20 de enero de 2025)
Dos de estos sitios web: govlens[.]mapa de guerra neto y en vivo[.]com – también se comercializaron a través de cuentas dedicadas en plataformas de redes sociales como Facebook y Telegram –
- www.facebook[.]es/GovLens
- t[.]yo/liveuamap_ar
«Cada uno de estos sitios web distribuye una aplicación maliciosa que combina funcionalidad legítima con capacidades de software espía sigilosas», afirmó ESET.
La compañía de ciberseguridad señaló que el nombre del canal Telegram probablemente esté inspirado en Live Universal Awareness Map (Liveuamap), una plataforma legítima y conocida dedicada a mapear conflictos en curso, cuestiones de derechos humanos, desastres naturales y eventos geopolíticos en todo el mundo.
Desde entonces se han identificado varios artefactos asociados con Asin, incluido uno subido a VirusTotal desde Türkiye en octubre de 2025, un APK descargado del dominio «c-pdf[.]net» en diciembre de 2025 por un usuario en un dispositivo Xiaomi Redmi Note 13 Pro con Android 15, y una tercera muestra disfrazada de «Mapa de Defensa de Siria» detectada en un dispositivo Xiaomi Redmi Note 13 Pro+ 5G con Android 15 alrededor de mediados de enero de 2026.
En el último caso, se dice que el APK se descargó de un sitio web llamado «syriadefensemap[.]com.» Vale la pena señalar que el usuario debe instalar manualmente la aplicación y otorgarle los permisos necesarios para que el software espía alcance sus objetivos.
El grupo de actividad, según ESET, permanece sin atribuir. Tampoco se sabe cuáles son los objetivos principales de estas campañas. Sin embargo, basándose en los señuelos utilizados, se sospecha que el objetivo pueden haber sido periodistas e investigadores de OSINT en regiones de habla árabe.
«Tres de las cinco aplicaciones fraudulentas que descubrimos (GovLens, WarMap y Syria Defence Map) parecen estar destinadas principalmente a personas interesadas en la investigación de código abierto», dijo la compañía. «Por lo tanto, parece posible que este conjunto de actividades haya estado destinado, al menos parcialmente, a periodistas de habla árabe o profesionales de OSINT».
