Frogblight: novi Android malver krade podatke i prazni bankovne račune

Mobilni telefoni, 23.12.2025, 11:30 AM

Istraživači kompanije Kaspersky otkrili su novi Android malver pod nazivom Frogblight, koji krade osetljive podatke sa zaražnih uređaja i prazni bankovne račune.

Ovaj Android trojanac prvi put je primećen u Turskoj u avgustu 2025. godine. Istraživači navode da se malver veoma brzo razvijao, uz česta ažuriranja tokom septembra, kako bi izbegao detekciju.

Frogblight se prvenstveno širi putem smishing kampanja (SMS fišing). Žrtve dobijaju poruke u kojima se navodi da su uključene u sudski postupak ili da imaju pravo na određeni vid finansijske ili socijalne pomoći. Poruke sadrže link koji vodi ka preuzimanju navodne aplikacije za pregled dokumenata ili „podršku“.

Napadači dodatno koriste lažne verzije aplikacija za socijalnu pomoć, imitirajući državne portale, kako bi stvorili utisak legitimnosti i naveli korisnike da instaliraju malver.

Strah i osećaj hitnosti igraju ključnu ulogu u ovoj prevari. Nakon instalacije, aplikacija se predstavlja kao zvanična administrativna ili pravna usluga, i zahteva široke dozvole, uključujući pristup SMS porukama i skladištu podataka na telefonu.

Detaljna analiza pokazala je da izvorni kod sadrži komentare na turskom jeziku, što ukazuje na to da su autori verovatno sa tog govornog područja. Ipak, istraživači upozoravaju da je malver lako prilagodljiv i da se može lokalizovati za korisnike u drugim zemljama. Malver poseduje i napredne mehanizme skrivanja - automatski se gasi ako otkrije da se pokreće na virtuelnom ili test uređaju, ili ako je telefon fizički u određenim regionima, poput Sjedinjenih Američkih Država.

Frogblight ne funkcioniše samo kao kradljivac lozinki. Nakon dobijanja potrebnih dozvola, aplikacija otvara pravi državni sajt kako bi dodatno učvrstila poverenje korisnika. Kada korisnik pokuša da se prijavi u aplikaciju za mobilno bankarstvo, malver ubacuje skriveni JavaScript kod koji beleži sve što se unosi putem tastature.

Novije verzije dodatno proširuju funkcionalnost, uključujući keylogging, krađu kontakata i prikupljanje evidencije telefonskih poziva.

„Frogblight predstavlja zabrinjavajući korak napred u razvoju mobilnih bankarskih pretnji“, izjavio je Georgij Bubenok, analitičar malvera u kompaniji Kaspersky. „Zloupotreba legitimnih državnih portala značajno povećava uverljivost i efikasnost ovakvih napada.“

Istraživači su takođe primetili nove varijante koje se maskiraju kao popularne aplikacije, uključujući Google Chrome. Naziv Frogblight potiče od „žablje“ tematike komandno-kontrolnog panela napadača, označenog kao „fr0g“. Delovi izvornog koda pronađeni su na GitHubu zajedno sa drugim Android malverima, poput Coper-a, što ukazuje na to da se Frogblight verovatno distribuira drugim kriminalcima kao malware-as-a-service (MaaS).

Kako bi se zaštitili, stručnjaci iz kompanije Kaspersky savetuju korisnicima da ne instaliraju APK fajlove dobijene putem SMS poruka ili neproverenih linkova, kao i da pažljivo proveravaju koje dozvole aplikacije zahtevaju. Na primer, obična aplikacija za pregled dokumenata ne bi smela da ima pristup SMS porukama ili istoriji poziva.