ESET ha identificato una campagna di spyware Android denominata Asin che prende di mira utenti di lingua araba tramite applicazioni false. La prima rilevazione risale all'inizio del 2025. La peculiarità del targeting è nel doppio strato: non solo utenti arabi in generale, ma probabilmente la nicchia professionale di giornalisti e ricercatori OSINT, proprio attraverso gli strumenti che usano per lavoro.
- ESET ha identificato cinque app fraudolente nella campagna Asin, tre delle quali — GovLens, WarMap e Syria Defense Map — sembrano destinate a persone interessate all'OSINT.
- La distribuzione avviene tramite siti web dedicati con download diretto APK, non tramite Google Play, e richiede installazione manuale e concessione di permessi da parte dell'utente.
- I domini di distribuzione principali sono stati registrati tra gennaio e maggio 2025: live-war-map[.]com il 20 gennaio, govlens[.]net il 27 maggio, pdf-reader[.]help il 29 maggio.
- L'activity cluster rimane non attribuito da ESET; il dossier non documenta funzionalità spyware specifiche, infrastruttura C2 né numero di vittime confermate.
Il lure geopolitico come leva di ingegneria sociale
Le cinque app identificate da ESET impersonano fonti credibili per il pubblico target: GovLens si presenta come fonte di notizie governative, WarMap e Syria Defense Map come strumenti di tracciamento conflitti, e le rimanenti due come utilità PDF. Ogni sito distribuisce un'applicazione che, secondo la ricerca ESET riportata da The Hacker News, "combines legitimate functionality with stealthy spyware capabilities".
Il canale Telegram dedicato a WarMap prende probabilmente ispirazione da Live Universal Awareness Map (Liveuamap), piattaforma legittima di mapping conflitti ampiamente utilizzata da giornalisti e analisti. Questa scelta non è casuale: replica l'ecosistema informativo in cui operano le persone che si vuole compromettere, riducendo la soglia di diffidenza.
GovLens e WarMap sono stati promossi tramite account dedicati su Facebook e Telegram. La distribuzione sociale amplifica il raggio d'azione rispetto al semplice sito web, sfruttando le dinamiche di condivisione e raccomandazione proprie delle piattaforme.
La distribuzione side-load e i vettori temporali
La campagna non attraversa Google Play. L'installazione richiede azione manuale dell'utente e concessione di permessi, un modello che sfrutta la persistenza della pratica del side-load in aree dove l'accesso all'ecosistema ufficiale Google è frammentato o dove gli utenti sono abituati a fonti alternative.
I domini identificati mostrano una timeline di preparazione che precede di mesi la visibilità pubblica: live-war-map[.]com registrato il 20 gennaio 2025, govlens[.]net il 27 maggio, pdf-reader[.]help il 29 maggio. Questo arco di quasi cinque mesi suggerisce pianificazione prolungata e possibile attivazione sequenziale dei diversi lure.
Un sample è stato caricato su VirusTotal dalla Turchia nell'ottobre 2025. Un APK è stato scaricato da c-pdf[.]net nel dicembre 2025 su un dispositivo Xiaomi Redmi Note 13 Pro con Android 15. Un terzo sample mascherato da Syria Defense Map è stato rilevato su Xiaomi Redmi Note 13 Pro+ 5G con Android 15 a metà gennaio 2026, scaricato da syriadefensemap[.]com. La ricorrenza della famiglia Xiaomi e della versione Android 15 nei due casi documentati è un dato di fatto, non interpretabile come pattern di targeting device-specifico senza ulteriori evidenze.
"Three out of the five fraudulent apps we unearthed — GovLens, WarMap, and Syria Defense Map — seem primarily intended for people interested in open-source investigation. It thus seems possible that this set of activities may have been, at least partially, meant to target Arabic-speaking journalists or OSINT practitioners." — ESET, via The Hacker News
Il vuoto attribuzionale e i limiti del dossier
The Hacker News riporta che "the activity cluster, per ESET, remains unattributed". Non emergono sovrapposizioni infrastrutturali che colleghino l'operatore a threat actor noti allo stato attuale. Il dossier non specifica obiettivi primari esatti della campagna — spionaggio governativo, criminale o altro — né documenta funzionalità tecniche del payload spyware, server di comando e controllo, permessi abusati o meccanismi di persistenza.
ESET ha comunque corroborato l'esistenza della campagna nel suo APT Activity Report Q4 2025–Q1 2026, citando "Android spyware we named Asin that targets Arabic-speaking users via apps claiming to offer conflict-tracking features". Questa menzione ufficiale, seppur breve e priva di dettagli tecnici aggiuntivi, conferma che Asin è trattata come minaccia documentata nel flusso di intelligence dell'azienda.
Il dossier non specifica il numero di vittime confermate, la geografia completa oltre al sample caricato dalla Turchia, l'esistenza di versioni iOS o altre piattaforme, né eventuali relazioni con campagne spyware mobile nella stessa regione.
Perché è importante
La fonte non documenta misure correttive specifiche per questa campagna. Il dossier non specifica se ESET abbia condiviso indicatori di compromissione con piattaforme di distribuzione o autorità. Non è documentato alcun intervento di takedown dei domini citati. La fonte non descrive contromisure tecniche adottate dai provider di sicurezza o dalle piattaforme social utilizzate per la promozione.
Il brief non elenca funzionalità spyware specifiche, pertanto non è possibile stabilire se il payload includa accesso a contatti, messaggi, posizione, registrazioni audio o altri dati sensibili. Il dossier non specifica se le app richiedano permessi particolarmente invasivi al momento dell'installazione o se operino con privilegi minimi.
Il punto di interesse strutturale è il doppio strato del targeting: l'ingegneria sociale non si limita a una tematica generica (notizie, conflitto), ma replica strumenti professionali specifici del mestiere giornalistico e della ricerca OSINT. Questo approccio aumenta la probabilità di successo contro una popolazione che, per formazione e necessità lavorativa, è esposta a fonti eterogenee e spesso non verificabili in tempo reale.
La linea sottile tra strumento e trappola
La campagna Asin illustra una tensione strutturale della sicurezza mobile contemporanea: gli stessi fattori che rendono Android flessibile e accessibile — la possibilità di installare applicazioni al di fuori dell'ecosistema ufficiale — ne fanno anche il vettore di campagne mirate che sfruttano la familiarità dell'utente con questa pratica. Per giornalisti e ricercatori che operano in contesti informativi ad alta volatilità, la pressione tematica del momento può compromettere le verifiche abituali.
L'assenza di attribuzione e di dettagli tecnici sul payload non consente di posizionare Asin in un panorama threat actor più ampio. Ciò che resta documentato, tuttavia, è sufficiente a segnalare un pattern operativo riproducibile: la weaponizzazione di lure geopolitiche credibili attraverso l'impersonazione di strumenti professionali, distribuita via web e social media, con installazione che sfrutta la procedura standard del side-load Android.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/android-spyware-asin-targets-arabic.html
- https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/
- https://www.welivesecurity.com/en/eset-research/gopherwhisper-burrow-full-malware/
- https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/
- https://unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/
- https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/
- https://support.google.com/googleplay/android-developer/answer/10281818?hl=en
- https://support.google.com/googleplay/answer/15574897?hl=en
- https://support.google.com/googleplay/answer/7018481
- https://www.eset.com/int/business/services/threat-intelligence/?utm_source=welivesecurity.com&utm_medium=referral&utm_campaign=wls-research&utm_content=fake-call-logs-real-payments-how-callphantom-tricks-android-users&sfdccampaignid=7011n0000017htTAAQ
- https://www.eset.com/int/business/services/threat-intelligence/?utm\_source=welivesecurity.com&utm\_medium=referral&utm\_campaign=wls-research&utm\_content=fake-call-logs-real-payments-how-callphantom-tricks-android-users&sfdccampaignid=7011n0000017htTAAQ