ESET研究人员发现一种此前未记录的Android间谍软件变种,名为Asin,该恶意软件通过针对阿拉伯语用户的欺诈性网站进行分发。据安全公司称,该活动最早在2025年初被观察到,并涉及多个独立的攻击行动。
攻击者在行动的每个阶段都使用了不同的网站,将这些网站伪装成合法服务,诱导用户下载恶意安卓应用程序。
研究人员发现的网站中包括govlens[.]net,该网站于2025年5月注册,自称是与政府相关的新闻平台。另一个网站pdf-reader[.]help在两天后完成注册,声称可提供安全的PDF查看和编辑功能。第三个域名live-war-map[.]com于2025年1月注册,自称是军事事件和冲突活动信息的来源。
ESET 发现,部分此类网站通过 Facebook 和 Telegram 上的社交媒体账号进行推广。该活动在 Telegram 上的运营形式似乎借鉴了全球通用意识地图(Liveuamap)的灵感,这是一项被广泛用于监测全球武装冲突、人道主义危机、自然灾害、人权动态及地缘政治事件的正规服务。
尽管这些网站提供的服务对目标受众而言看似有用或相关,但下载的应用程序却包含隐藏的间谍软件组件。研究人员表示,这些恶意应用将广告功能与后台运行的监控功能结合在了一起。
更多证据表明,该活动在被首次发现后仍在持续进行。
ESET 识别出多个与 Asin 相关的痕迹,包括 2025 年 10 月从土耳其上传至 VirusTotal 的一个样本。2025 年 12 月,一名使用运行 Android 15 系统的小米 Redmi Note 13 Pro 手机的用户,从域名 c-pdf[.]net 下载了另一个恶意安卓应用包。
研究人员还发现一款伪装成“叙利亚防御地图”的独立应用程序。该样本于2026年1月中旬左右在一台搭载Android 15系统的小米Redmi Note 13 Pro+ 5G设备上被检测到。据悉,这款应用是通过网站 syriadefensemap[.]com 下载获取的。
与许多在官方应用商店之外分发的安卓威胁一样,用户必须手动安装该软件,它才能运行。这款间谍软件还依赖受害者授予其请求的权限,而这些权限可用于访问设备上存储的敏感信息。
ESET 尚未将该活动归因于任何已知的威胁组织,此次行动的背后目的仍不明确。不过,整个攻击活动中使用的主题线索,为判断攻击者的目标对象提供了一些线索。
该公司指出,GovLens、WarMap 和 Syria Defense Map 这三款恶意应用程序与从事开源情报(OSINT)研究的人员关联度尤其高。由于这些应用程序的功能集中在新闻采集、冲突追踪和调查性信息获取上,研究人员认为阿拉伯语记者和开源情报从业者可能是其目标群体。
研究结果表明,威胁组织持续在看似可靠且实用的应用程序中植入恶意代码。攻击者利用人们对时事、政府信息和冲突监测的兴趣,提高了用户在不产生即时怀疑的情况下安装能够从其设备收集数据的软件的可能性。
新闻链接:
https://www.cysecurity.news/2026/06/android-spyware-asin-uses-fake-news-and.html