Android-Spyware Asin tarnt sich als News-, PDF- und Kriegskarten-Apps für arabischsprachige Nutzer

Zusammenfassung

ESET hat eine neue Android-Spyware mit dem Codenamen Asin identifiziert, die sich laut den Forschern gegen arabischsprachige Nutzer richtet. Die slowakische Sicherheitsfirma entdeckte die Schadsoftware nach eigenen Angaben erstmals in mehreren Kampagnen Anfang 2025. In den einzelnen Angriffswellen kamen unterschiedliche Websites zum Einsatz, die Hilfsprogramme, kriegsbezogene Updates und eine staatliche Nachrichtenquelle imitierten. Zu den von ESET genannten Domains gehören unter anderem govlens[.]net und live-war-map[.]com; diese beiden Seiten wurden demnach auch über eigens eingerichtete Konten bei Facebook und Telegram beworben. Nach Angaben von ESET verteilen die Websites jeweils eine bösartige App, die eine legitime Funktion mit unauffälligen Spionagefunktionen kombiniert. Der Aktivitätscluster ist laut ESET bislang keiner Gruppe zugeordnet. Auch die eigentlichen Ziele der Kampagnen sind unklar. Wegen der verwendeten Köder hält es das Unternehmen jedoch für möglich, dass sich die Angriffe zumindest teilweise gegen Journalisten und OSINT-Forscher in arabischsprachigen Regionen richten.

Im Mittelpunkt der von ESET beschriebenen Kampagnen steht eine Reihe gefälschter Android-Apps, die mit vermeintlich nützlichen oder aktuellen Inhalten Vertrauen schaffen sollen. Die Angreifer nutzten dafür Websites, die Werkzeuge, kriegsbezogene Lagebilder oder eine Regierungsnachrichtenquelle nachahmten. Nach Angaben von ESET verbinden die darüber verteilten Apps jeweils eine echte oder zumindest plausibel wirkende Funktion mit verdeckten Spyware-Fähigkeiten.

Zwei der genannten Websites, govlens[.]net und live-war-map[.]com, wurden laut ESET zusätzlich über spezielle Konten auf Facebook und Telegram vermarktet. Der Name des Telegram-Kanals lehne sich vermutlich an Live Universal Awareness Map, kurz Liveuamap, an, so ESET. Dabei handelt es sich um eine legitime und bekannte Plattform zur Kartierung laufender Konflikte, Menschenrechtsfragen, Naturkatastrophen und geopolitischer Ereignisse weltweit.

ESET hat inzwischen mehrere Artefakte im Zusammenhang mit Asin gefunden. Dazu zählt eine Datei, die im Oktober 2025 aus der Türkei bei VirusTotal hochgeladen wurde. Ein weiteres APK wurde im Dezember 2025 von der Domain c-pdf[.]net heruntergeladen; betroffen war laut ESET ein Xiaomi Redmi Note 13 Pro mit Android 15. Eine dritte Probe tarnte sich als „Syria Defense Map“ und wurde etwa Mitte Januar 2026 auf einem Xiaomi Redmi Note 13 Pro+ 5G mit Android 15 entdeckt.

Im zuletzt genannten Fall soll das APK von der Website syriadefensemap[.]com geladen worden sein. ESET weist darauf hin, dass Nutzer die App manuell installieren und ihr die erforderlichen Berechtigungen erteilen müssen, damit die Spyware ihre Ziele erreichen kann.

Wer hinter dem Aktivitätscluster steckt, ist nach Angaben von ESET bislang nicht bekannt. Auch über die primären Ziele der Kampagnen gibt es keine gesicherten Erkenntnisse. Die Forscher leiten aus den eingesetzten Ködern aber eine mögliche Zielgruppe ab: Drei der fünf entdeckten betrügerischen Apps – GovLens, WarMap und Syria Defense Map – scheinen sich in erster Linie an Personen zu richten, die sich für offene Quellenrecherche interessieren. Deshalb hält ESET es für möglich, dass diese Aktivitäten zumindest teilweise auf arabischsprachige Journalisten oder OSINT-Praktiker zugeschnitten waren.

Android-Spyware Asin tarnt sich als News-, PDF- und Kriegskarten-Apps für arabischsprachige Nutzer

Ähnliche Artikel

Neueste Artikel