Istraživači kompanije Kaspersky otkrili su novi Android bankarski malware pod nazivom Frogblight, koji je osmišljen za krađu osjetljivih podataka sa zaraženih uređaja i pražnjenje bankovnih računa korisnika.
Maliciozni trojanac prvi put je primijećen u Turskoj u avgustu 2025. godine, a istraživači navode da se vrlo brzo razvijao. Tokom septembra zabilježene su česte nadogradnje, što ukazuje na aktivan pokušaj autora da izbjegnu sigurnosna otkrivanja.
Širenje putem SMS prevara i lažnih aplikacija
Frogblight se prvenstveno širi putem smishing kampanja (phishing putem SMS poruka). Žrtve dobijaju poruke u kojima se navodi da su uključene u sudski postupak ili da imaju pravo na određenu vrstu finansijske ili socijalne pomoći. U porukama se nalazi link za preuzimanje navodne aplikacije za pregled dokumenata ili „podršku“.
Napadači dodatno koriste lažne verzije aplikacija za socijalnu pomoć, koje imitiraju zvanične državne portale, kako bi stvorili utisak legitimnosti i naveli korisnike da instaliraju malware.
Manipulacija strahom i hitnošću
Strah i osjećaj hitnosti imaju ključnu ulogu u ovoj prevari. Nakon instalacije, aplikacija se predstavlja kao zvanična administrativna ili pravna usluga i traži široke dozvole, uključujući pristup SMS porukama i memoriji telefona.
Detaljna analiza pokazala je da izvorni kod sadrži komentare na turskom jeziku, što ukazuje da su autori vjerovatno sa tog govornog područja. Ipak, istraživači upozoravaju da je malware lako prilagodljiv i da se može lokalizovati za korisnike u drugim državama.
Napredne tehnike prikrivanja i krađe podataka
Frogblight posjeduje i napredne mehanizme skrivanja – automatski se gasi ako otkrije da se pokreće na virtuelnom ili testnom uređaju, ili ako je telefon fizički lociran u određenim regijama, poput Sjedinjenih Američkih Država.
Ovaj malware nije samo kradljivac lozinki. Nakon dobijanja potrebnih dozvola, aplikacija otvara stvarnu državnu web-stranicu kako bi dodatno povećala povjerenje korisnika. Kada žrtva pokuša da se prijavi u mobilnu bankarsku aplikaciju, malware ubacuje skriveni JavaScript kod koji bilježi sve što se unosi putem tastature.
Novije verzije dodatno proširuju funkcionalnost, uključujući keylogging, krađu kontakata i prikupljanje evidencije telefonskih poziva.
Malware kao usluga i lažno predstavljanje popularnih aplikacija
„Frogblight predstavlja zabrinjavajući korak naprijed u evoluciji prijetnji mobilnom bankarstvu“, izjavio je Georgiy Bubenok, analitičar malwarea u Kasperskyju. „Zloupotreba legitimnih državnih portala značajno povećava vjerodostojnost i efikasnost ovakvih napada.“
Istraživači su primijetili i nove varijante koje se predstavljaju kao popularne aplikacije, uključujući Google Chrome. Naziv Frogblight potiče od „žabljeg“ motiva u komandno-kontrolnom panelu napadača, označenom kao „fr0g“. Dijelovi izvornog koda pronađeni su na GitHubu uz druge Android malware alate, poput Copera, što ukazuje da se Frogblight vjerovatno distribuira drugim kriminalcima po modelu malware-as-a-service (MaaS).
Kako se zaštititi od Frogblight-a
Kako bi se zaštitili, Kaspersky stručnjaci savjetuju korisnicima da ne instaliraju APK fajlove primljene putem SMS poruka ili s neprovjerenih linkova, te da pažljivo provjere koje dozvole aplikacija zahtijeva. Na primjer, jednostavna aplikacija za pregled dokumenata ne bi smjela imati pristup SMS porukama ili historiji poziva.
