كشفت شركة ESET السلوفاكية للأمن السيبراني عن برنامج تجسسي جديد لنظام أندرويد يحمل الاسم الرمزي Asin، يستهدف المستخدمين الناطقين بالعربية عبر حملات متعددة بدأت مطلع عام 2025.
الهجمات اعتمدت على مواقع مزيفة تحاكي مصادر رسمية وخدمات يومية، منها:
- govlens[.]net الذي ينتحل هيئة إخبارية حكومية.
- pdf-reader[.]help الذي يتظاهر كمحرر PDF آمن.
- live-war-map[.]com الذي يزعم تقديم تحديثات عن الحوادث العسكرية.
بعض هذه المواقع رُوّج لها عبر حسابات مخصصة على منصات التواصل مثل Facebook وTelegram، ما منحها مصداقية زائفة أمام المستخدمين.
وظائف شرعية تخفي قدرات تجسسية
التطبيقات التي توزعها هذه المواقع تجمع بين وظائف تبدو شرعية مثل قراءة ملفات PDF أو متابعة خرائط الحرب، وبين قدرات تجسسية خفية.
البرنامج الخبيث يطلب من المستخدم تثبيت التطبيق يدوياً ومنحه الأذونات اللازمة، ليتمكن بعدها من جمع البيانات الحساسة من الجهاز.
أحد العينات رُصد في أكتوبر 2025 عبر منصة VirusTotal من تركيا، فيما اكتُشف نموذج آخر في ديسمبر 2025 على جهاز Xiaomi Redmi Note 13 Pro يعمل بنظام Android 15، إضافة إلى نسخة ثالثة باسم “Syria Defense Map” على جهاز Redmi Note 13 Pro+ 5G في يناير 2026.
أهداف محتملة للهجمات
رغم أن النشاط لم يُنسب رسمياً إلى جهة محددة، إلا أن طبيعة الطُعم المستخدم تشير إلى أن الصحفيين والباحثين في مجال الاستخبارات مفتوحة المصدر (OSINT) في المنطقة العربية قد يكونون الهدف الأساسي.
ثلاثة من أصل خمسة تطبيقات مزيفة تم اكتشافها – GovLens وWarMap وSyria Defense Map – تبدو موجهة خصيصاً للأشخاص المهتمين بالتحقيقات المفتوحة ومتابعة النزاعات، ما يعزز فرضية استهداف الإعلاميين والباحثين.
دلالات أمنية على مستوى المنطقة
هذا النوع من البرمجيات التجسسية يعكس اتجاهاً متزايداً لاستغلال السياقات الإخبارية والسياسية في المنطقة العربية كوسيلة للإيقاع بالضحايا. استخدام أسماء مواقع شبيهة بمنصات معروفة مثل Liveuamap يهدف إلى تضليل المستخدمين الباحثين عن معلومات موثوقة حول النزاعات.
التحذير الأبرز هنا أن أي تطبيق يطلب تثبيتاً يدوياً وأذونات واسعة يجب التعامل معه بحذر شديد، خاصة إذا كان مصدره غير رسمي أو مرتبط بمواقع حديثة التسجيل.
