Cảnh báo spyware Asin: Chiến dịch tấn công người dùng Ả Rập qua ứng dụng giả mạo

Một loại spyware mới trên Android với tên gọi Asin đang trở thành mối đe dọa đối với cộng đồng người dùng nói tiếng Ả Rập. Theo báo cáo từ hãng bảo mật ESET, mã độc này đã được phát tán thông qua nhiều chiến dịch khác nhau kể từ đầu năm 2025.

Kẻ tấn công sử dụng các trang web giả mạo để lừa người dùng tải xuống ứng dụng độc hại. Các trang web này thường đóng vai trò là nguồn cung cấp tin tức chính phủ, công cụ chỉnh sửa PDF hoặc bản đồ cập nhật tình hình xung đột quân sự. Một số tên miền đáng chú ý bao gồm govlens[.]net, pdf-reader[.]help và live-war-map[.]com. Để tăng độ tin cậy, các đối tượng đứng sau còn quảng bá các trang web này thông qua mạng xã hội Facebook và Telegram.

Theo ESET, các ứng dụng này được thiết kế để kết hợp giữa tính năng thông thường với khả năng gián điệp tinh vi. Đáng chú ý, tên của một kênh Telegram liên quan đến chiến dịch này được đặt tương tự như Liveuamap – một nền tảng uy tín chuyên theo dõi các sự kiện địa chính trị và xung đột trên thế giới.

Các mẫu mã độc Asin đã được ghi nhận trên nhiều thiết bị Android, bao gồm cả các máy chạy Android 15. Trong các trường hợp bị phát hiện, người dùng thường bị dẫn dụ cài đặt thủ công các tệp APK từ các trang web giả mạo và cấp quyền truy cập cần thiết cho ứng dụng, từ đó tạo điều kiện cho spyware thực thi hành vi thu thập dữ liệu.

Hiện tại, danh tính của nhóm tấn công vẫn chưa được xác định. Tuy nhiên, dựa trên các chủ đề mà ứng dụng giả mạo nhắm tới, các chuyên gia nhận định mục tiêu của chiến dịch này có thể là các nhà báo hoặc những người làm công tác nghiên cứu tình báo nguồn mở (OSINT) tại khu vực nói tiếng Ả Rập. Người dùng được khuyến cáo chỉ nên cài đặt ứng dụng từ các nguồn chính thống như Google Play Store và thận trọng với các tệp tin tải xuống từ các liên kết không rõ nguồn gốc trên mạng xã hội.

Nguồn tham khảo: The Hacker News