危険なデジタル脅威が出現し、トルコのモバイルユーザーを特に狙って銀行口座から資金を奪おうとしています。サイバーセキュリティ企業カスペルスキーの脅威インテリジェンス部門Securelistの研究者が、2025年8月にこのAndroidベースのトロイの木馬(見た目は普通のファイルに潜むウイルス)を最初に発見し、「Frogblight」と命名しました。このマルウェアは急速に進化しており、研究者は検知回避のために2025年9月を通じて頻繁な更新が行われていると指摘しています。
裁判案件と社会支援の罠
Frogblightが拡散する主な手口は、スミッシング(SMSフィッシング)です。詐欺師はトルコの人々にSMSを送り、受信者が法的な裁判に関与している、または金銭的支援の対象であると主張し、ファイルビューアやサポートアプリをダウンロードさせるリンクを提示します。
詐欺師はまた、社会支援アプリを偽装(例:家族・社会サービス省の偽ポータル、またはe-ifade.apk)のようなファイル名)し、人々に国家支援を申請していると思い込ませます。
ご存じのとおり、恐怖は強力な動機となり、多くの人が悪意あるファイルをインストールしてしまいます。インストールされると、このアプリは正規に見せかけるためにトルコ語名「Davalarım」(私の裁判案件)を使用し、SMSの読み取りやストレージへのアクセスなど広範な権限を要求します。
さらに調査したところ、コード内にトルコ語のコメントが含まれており、作成者がネイティブ話者であることを示唆しています。興味深いことに、研究者はこのウイルスが隠蔽にも長けていると指摘しており、(専門家が研究に用いる)偽の端末でテストされていることを検知した場合や、端末が物理的に米国にある場合には、実際に動作を停止します。
盗難が発生する仕組み
SecureListによる詳細な分析によれば、このマルウェアはパスワードを盗むだけではなく、スパイのように振る舞います。ユーザーが権限を付与すると、アプリは公式らしく見せるために実際の政府サイトを開きます。その後、ユーザーが銀行のログインを選択するのを待ち、隠されたJavaScriptコードを注入します。
このコードはユーザーが入力する内容をすべて記録します。新しいバージョンでは、キーロギング(キーストロークの記録)、連絡先リストの窃取、通話履歴の収集といった機能も追加されています。
「Frogblightはモバイルバンキング脅威の懸念すべき進化を示している」とカスペルスキーのマルウェアアナリスト、Georgy Bubenok氏は述べ、正規の政府ポータルを利用することで、こうした罠がはるかに効果的になると説明しました。
偽装、開発、そして防御
注目すべき点として、ハッカーは偽装の幅を広げており、新しいバージョンではGoogle Chromeブラウザや汎用の社会支援ツールを装っています。研究者が「Frogblight」という名称を選んだのは、ハッカーのコントロールセンターに「fr0g」と名付けられたカエルをテーマにしたデザインがあったためです。さらに、Coperなど他のマルウェアと並んでGitHub上でソースコードが見つかっており、他の犯罪者に対してマルウェア・アズ・ア・サービス(MaaS)として販売されている可能性を示唆しています。
資産を守るために、カスペルスキーの研究者は、SMSや信頼できないWebサイト経由で送られてくるAPKファイルを避けること、そしてアプリの権限要求を精査することを推奨しています。例えば、単なるファイルビューアがSMSメッセージを管理する必要はありません。
翻訳元: https://hackread.com/frogblight-malware-android-fake-court-aid-apps/
