Kasperskyのセキュリティ研究者は、正規の政府アプリになりすましてトルコのユーザーを標的にする、高度なAndroidバンキング型トロイの木馬「Frogblight」を発見しました。
2025年8月に初めて検出されたこの高度なマルウェアは、銀行認証情報の窃取と広範なスパイ機能を組み合わせており、同地域のモバイルユーザーにとって重大な脅威となっています。
このマルウェアは巧妙なソーシャルエンジニアリング手法を用い、当初はトルコ政府の公式ポータルを通じて裁判記録ファイルにアクセスするためのアプリを装います。
Kasperskyの研究者は発見したところによると、Frogblightは主要な配布経路としてスミッシング(SMSフィッシング)を利用しており、被害者には法的手続きに関与していると主張する不正なメッセージが送られ、正規の政府アプリに見えるものをダウンロードするよう促されます。
インストールされると、Frogblightは巧妙な手法で銀行認証情報を盗み取ります。マルウェアはWebViewコンポーネント内で裁判記録ファイルにアクセスするための正規のトルコ政府Webページを開き、その後、SMSの読み取り/書き込み権限、ファイルシステムへのアクセス、端末情報の収集など、過剰な権限を要求します。
ユーザーがオンラインバンキングの選択肢からログインしようとすると、Frogblightは悪意のあるJavaScriptコードを注入してユーザー入力データをすべて取得し、コマンド&コントロール(C2)サーバーへ送信します。
このマルウェアは、SMS管理やアクセシビリティサービスから連絡先へのアクセス、バッテリー最適化の回避に至るまで、驚くべきことに24種類もの端末権限を要求します。
この包括的な権限セットにより、脅威アクターは感染端末をほぼ完全に制御できるようになります。
進化する脅威の状況
Kasperskyの分析により、Frogblightは2025年9月を通じて継続的に開発が進められ、後続の亜種が新たな機能を導入していたことが明らかになりました。
後期バージョンはChromeブラウザを装い、連絡先リストの流出、通話履歴の収集、カスタムキーボードサービスによるキーストローク記録など、追加のスパイ機能を実装していました。
最新のサンプルでは、C2通信にREST APIではなくWebSocket接続が用いられており、完全に稼働するマルウェアプラットフォームに向けて活発に開発が進んでいることを示しています。
このマルウェアには、米国では実行を防ぐジオフェンシング機能や、エミュレーター環境を検出する機能が含まれており、その開発の背後に高度なオペレーターがいることを示唆しています。
Malware-as-a-Serviceモデル
証拠から、FrogblightはMalware-as-a-Service(MaaS)モデルで配布されている可能性が示されています。
Kasperskyの研究者は、脅威アクターがインストール済みのバンキングアプリなどのパラメータで被害端末を並べ替えたり、一括SMS操作を実行したりできる、アクセス可能なWeb管理パネルを発見しました。
WebSocket接続に特別なキーを用いるマルウェアの認証システムは、この配布モデルを裏付けています。
現時点では決定的な帰属は不可能であるものの、研究者は、関連する脅威アクターのアカウントによって管理されている点で、FrogblightとGitHub上のCoperマルウェアファミリーとの間に強い関連性を見いだしました。
トルコ語で書かれたコードコメントは、マルウェア開発者がトルコ語を母語とする話者であることを示唆しています。
Kasperskyは、この脅威の特定とブロックを支援するため、7つのAPKファイルハッシュ、C2ドメイン、IPアドレス、配布URLなど、複数の侵害指標(IOC)を提供しました。
Kaspersky製品は、Frogblightの亜種をHEUR:Trojan-Banker.AndroidOS.Frogblight.*、HEUR:Trojan-Banker.AndroidOS.Agent.eq、および関連シグネチャとして検出します。
トルコのユーザーは、法的手続きに関する不審なSMSメッセージに対して最大限の注意を払い、非公式なソースからアプリケーションをダウンロードしないようにすべきです。
セキュリティアプリケーションの導入と端末パッチの最新状態の維持は、この新たに台頭する脅威に対する重要な防御策であり続けます。
翻訳元: https://gbhackers.com/frogblight-android-malware/
