«Ваше дело уже передано в суд», — с этой фразы начинается кража всех денег с вашей банковской карты (спасибо Frogblight)

leer en español

Frogblight Android Турция Лаборатория Касперского банковский троян фишинг вредоносное ПО
«Ваше дело уже передано в суд», — с этой фразы начинается кража всех денег с вашей банковской карты (спасибо Frogblight)
Frogblight Android Турция Лаборатория Касперского банковский троян фишинг вредоносное ПО

Потеря сбережений — лишь верхушка айсберга, ведь под ударом оказывается вся частная жизнь.

image

В экосистеме Android зафиксирована новая вредоносная кампания, ориентированная на пользователей из Турции. Специалисты «Лаборатории Касперского» сообщили о появлении банковского трояна Frogblight, который активно развивается и уже используется для кражи учётных данных и сбора чувствительной информации. Вредоносное ПО маскируется под легитимные приложения и использует доверие к государственным сервисам как часть схемы заражения.

Первые версии Frogblight появились летом 2025 года и распространялись через фишинговые SMS. Получателям сообщали о якобы возбуждённом судебном деле и предлагали перейти по ссылке для просмотра материалов. По этой ссылке открывался поддельный сайт, имитирующий официальный государственный ресурс, откуда предлагалось установить приложение. Изначально оно выглядело как сервис для доступа к судебным файлам, а позже появлялись варианты, замаскированные под браузер Chrome и другие универсальные приложения.

После установки программа запрашивает расширенные разрешения, включая доступ к SMS, файлам, установленным приложениям и службам специальных возможностей. Затем во встроенном окне WebView открывается настоящий государственный сайт, через который пользователь может перейти к авторизации, в том числе через интернет-банкинг. В этот момент вредоносный код внедряет скрипты для перехвата вводимых данных и отправляет их на управляющий сервер.

Помимо кражи банковских реквизитов, Frogblight обладает шпионскими функциями. Он собирает SMS, список приложений, сведения о файлах, может отправлять сообщения от имени жертвы и передавать журналы вызовов. В более поздних версиях добавлены возможности работы с контактами, перехвата уведомлений и регистрации нажатий клавиш через собственную клавиатуру. Также зафиксированы механизмы закрепления в системе, автозапуска после перезагрузки и защиты от удаления.

Авторы отчёта отмечают, что в сентябре функциональность вредоносного ПО активно расширялась. Появились варианты с проверкой окружения, которые прекращают работу на эмуляторах или за пределами Турции, а также версии с управлением через WebSocket вместо REST-интерфейсов. На одном из серверов был обнаружен веб-интерфейс для управления заражёнными устройствами, что указывает на возможное распространение Frogblight по модели сервиса для злоумышленников.

По телеметрии основная масса атак пришлась на Турцию, что подтверждает целевую направленность кампании. Прямую связь с известными группировками установить не удалось, однако анализ открытых репозиториев показал пересечения с проектами другого Android-вредоноса Coper. Дополнительным косвенным признаком стало использование турецкого языка в комментариях к коду.

Специалисты считают, что Frogblight пока находится в стадии доработки и может получить дальнейшее развитие, прежде чем кампания возобновится с новой силой.