Новый банковский троянец Frogblight атакует пользователей Android в Турции
Обнаружен новый банковский троянец для Android под названием Frogblight, нацеленный на пользователей в Турции. Как указывается в сообщении «Лаборатории Касперского», вредоносное ПО первоначально маскировалось под приложение для просмотра судебных дел на портале госуслуг, а позднее — под браузер Chrome.
Троянец использует официальные веб-сайты, в том числе турецкий портал госуслуг, в качестве прокси для кражи банковских данных. Вредонос обладает шпионскими функциями: собирает SMS, список установленных приложений, информацию о файловой системе и может отправлять произвольные SMS. В сентябре появились обновленные версии Frogblight с расширенным функционалом, что указывает на активную разработку.
По данным исследователей, одним из каналов распространения является SMS-фишинг: пользователям приходят сообщения с утверждением, что они стали участниками судебного разбирательства, и с предложением перейти по ссылке для установки вредоносного приложения. Некоторые фишинговые сайты, распространяющие Frogblight, размещены на платформе Vercel, а их исходный код обнаружен в публичном репозитории на GitHub.
После установки троянец запрашивает широкий набор разрешений, включая доступ к SMS, хранилищу и доступность (Accessibility Service). Затем через WebView открывается официальная страница портала госуслуг, где пользователю предлагается авторизоваться через онлайн-банкинг. Frogblight внедряет JavaScript-код для перехвата вводимых данных и отправки их на командный сервер.
Как отмечается в анализе, более поздние версии троянца перешли с REST API на WebSocket для управления, используют методы противодействия анализу в эмуляторах и применяют геозонирование. Также обнаружена веб-панель управления, позволяющая сортировать устройства по наличию банковских приложений и выполнять групповые команды. Это может указывать на распространение Frogblight по модели «вредоносное ПО как услуга» (MaaS).
По данным телеметрии, большинство атакованных пользователей находятся в Турции. В коде троянца присутствуют комментарии на турецком языке. Аналитики также обнаружили связь между репозиториями Frogblight и автором, ранее распространявшим вредоносное ПО Coper по модели MaaS.
