一款名为 “Frogblight” 的复杂安卓银行木马已构成重大威胁,主要针对土耳其用户,采用欺骗手段窃取银行凭证和个人数据。
该恶意软件于2025年8月被发现,最初伪装成通过官方政府门户访问法庭案件文件的应用,后来演变为仿冒 Chrome 等流行应用的形式。
该恶意软件通过精心策划的社会工程手段进行传播。受害者会收到网络钓鱼短信,谎称其涉及法庭案件,短信中的链接会将用户导向旨在分发恶意应用的虚假政府网站。
一旦安装,”Frogblight” 便会请求访问敏感权限,包括读取和发送短信、访问存储空间以及获取设备信息。
当用户启动该应用时,欺骗行为仍在继续:它会通过嵌入式浏览器视图显示真实的政府网页,以制造一种虚假的真实感。
Securelist 的分析师指出,”Frogblight” 是一种多功能威胁,兼具银行盗窃能力和广泛的间谍软件功能。
该恶意软件会主动监控和记录短信、跟踪已安装的应用程序、监视设备文件系统,并能够向外部联系人发送任意文本消息。
最令人担忧的或许是,该恶意软件显示出持续活跃的开发迹象,在2025年9月期间增加了新功能,这表明其可能采用恶意软件即服务模式进行分发。
感染机制与指令架构
核心感染机制依赖于在受感染的 WebView 环境中注入 JavaScript 代码。当用户在恶意应用内显示的虚假政府门户网站上进行交互时,”Frogblight” 会悄无声息地捕获所有用户输入。
该恶意软件专门针对在线银行登录尝试,无论用户选择如何,都会在两秒延迟后自动启动银行登录屏幕。
与控制服务器的通信通过使用 Retrofit 库的 REST API 调用进行,恶意软件在活动期间每两秒向其控制器发送一次信号。
早期版本使用 REST API 端点来处理诸如获取待发消息、确认指令执行以及上传窃取的文件和数据等任务。
后续变种则转向使用 JSON 格式指令的 WebSocket 连接,以增强隐蔽性和持久性。
该恶意软件通过多个 Android 服务实现了复杂的持久化机制。AccessibilityAutoClickService 可防止应用被移除,同时打开攻击者指定的网站。PersistentService 负责处理与命令控制服务器的持续交互,而 BootReceiver 则通过任务调度和警报配置确保设备重启后恶意软件仍能持续存在。
“Frogblight” 还展示了其他规避技术,例如检测模拟器环境,以及使用地理围栏机制在美国境内禁用其功能。
在新版本的安卓系统上,该应用图标会变更为 “Davalarım”(土耳其语短语),而在较旧的系统上则保持隐藏。
卡巴斯基产品的检测签名包括 HEUR:Trojan-Banker.AndroidOS.Frogblight 及相关变种,有助于安全团队识别和拦截这一新兴威胁。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容