Usuários de língua árabe estão sendo alvo de um novo spyware para Android identificado como Asin, segundo descobertas da ESET. A empresa eslovaca de cibersegurança informou que detectou o malware pela primeira vez no início de 2025, distribuído por meio de múltiplas campanhas que utilizavam sites falsos para simular ferramentas úteis, atualizações sobre conflitos armados e fontes de notícias governamentais.

De acordo com a análise, cada onda de ataque usou uma abordagem diferente para atrair vítimas. Entre os domínios identificados estão govlens[.]net, registrado em 27 de maio de 2025, que se passava por uma fonte de notícias governamental; pdf-reader[.]help, registrado em 29 de maio de 2025, que imitava um editor seguro de PDF; e live-war-map[.]com, registrado em 20 de janeiro de 2025, que prometia atualizações sobre incidentes militares.

Dois desses sites, govlens[.]net e live-war-map[.]com, também foram promovidos por contas dedicadas em redes sociais, incluindo Facebook e Telegram. Entre os perfis citados estão www.facebook[.]com/GovLens e o canal t[.]me/liveuamap_ar. Segundo a ESET, cada um desses sites distribuía um aplicativo malicioso que combinava funcionalidades aparentemente legítimas com recursos de spyware executados de forma discreta.

A escolha dos temas usados como isca chama atenção. O canal no Telegram, por exemplo, parece ter sido inspirado no nome do Live Universal Awareness Map, conhecido como Liveuamap, uma plataforma legítima usada para mapear conflitos em andamento, violações de direitos humanos, desastres naturais e eventos geopolíticos ao redor do mundo. Essa semelhança pode ter sido usada para aumentar a credibilidade da campanha entre pessoas interessadas em acompanhar guerras, crises regionais e informações de fonte aberta.

A investigação também identificou múltiplos artefatos associados ao Asin. Um deles foi enviado ao VirusTotal a partir da Turquia em outubro de 2025. Outro APK foi baixado em dezembro de 2025 a partir do domínio c-pdf[.]net por um usuário utilizando um Xiaomi Redmi Note 13 Pro com Android 15. Um terceiro exemplo foi detectado por volta de meados de janeiro de 2026 em dispositivos Xiaomi Redmi Note 13 Pro+ 5G com Android 15, disfarçado como “Syria Defense Map”.

Neste último caso, o aplicativo teria sido baixado a partir do site syriadefensemap[.]com. A ESET observou que a infecção exige interação do usuário: a vítima precisa instalar manualmente o APK e conceder as permissões necessárias para que o spyware consiga atingir seus objetivos. Esse ponto é relevante porque demonstra uma cadeia de ataque baseada em engenharia social e instalação fora das lojas oficiais, em vez de exploração automática de uma vulnerabilidade do sistema Android.

A cadeia de ataque descrita pelos pesquisadores segue um padrão comum em campanhas de espionagem móvel. Primeiro, os operadores criam sites falsos com aparência funcional e temática alinhada ao interesse do público-alvo. Em seguida, divulgam esses sites por canais sociais ou por links diretos. A vítima baixa o APK acreditando se tratar de uma ferramenta legítima, instala o aplicativo manualmente e concede permissões solicitadas durante o uso. A partir desse ponto, o app passa a combinar funções legítimas com capacidades ocultas de spyware.

Embora o relatório não detalhe todas as permissões exploradas pelo Asin nem os tipos específicos de dados coletados, o uso do termo spyware indica uma finalidade voltada à vigilância, coleta de informações ou monitoramento do dispositivo infectado. Em campanhas desse tipo, os riscos costumam envolver exposição de comunicações, metadados, arquivos, localização ou outras informações sensíveis, dependendo das permissões concedidas e das capacidades implementadas no malware.

A atividade permanece sem atribuição. Até o momento, a ESET não associou o Asin a um país, grupo hacker ou operação conhecida. Também não está claro qual é o objetivo principal das campanhas. Ainda assim, os temas usados como isca sugerem um possível interesse em jornalistas, pesquisadores de inteligência de fontes abertas, conhecidos como OSINT, e usuários de regiões árabes que acompanham conflitos militares e acontecimentos geopolíticos.

A própria ESET destacou que três dos cinco aplicativos fraudulentos encontrados — GovLens, WarMap e Syria Defense Map — parecem ter sido criados principalmente para pessoas interessadas em investigação de fontes abertas. Por isso, a empresa avalia que parte da atividade pode ter sido direcionada a jornalistas de língua árabe ou profissionais e pesquisadores que trabalham com OSINT.

O caso também se conecta a uma tendência mais ampla de uso de aplicativos falsos para operações de espionagem móvel. Em vez de depender apenas de vulnerabilidades técnicas, os invasores exploram temas sensíveis, urgentes ou politicamente relevantes para convencer usuários a instalar apps fora de canais confiáveis. Em regiões afetadas por conflitos, plataformas de mapas, alertas de guerra e fontes de notícias podem se tornar iscas particularmente eficazes, especialmente quando o público busca informações rápidas e atualizadas.

Para usuários Android, o principal risco está na instalação de APKs obtidos fora de lojas oficiais ou de fontes verificadas. Mesmo quando um aplicativo parece oferecer uma função útil, como leitura de PDF, notícias governamentais ou monitoramento de conflitos, a concessão de permissões excessivas pode abrir caminho para espionagem. Organizações de mídia, pesquisadores independentes, analistas de OSINT e defensores de direitos humanos devem redobrar a atenção com aplicativos distribuídos por links em redes sociais, grupos de mensagens e sites recém-criados.