フロッグブライト(Frogblight)Androidマルウェアの概要
Kasperskyの研究者らは、トルコのユーザーを標的とする高度なAndroidバンキング型トロイの木馬「Frogblight」を発見しました。このマルウェアは、正規の政府アプリケーションを装って拡散し、モバイルユーザーに深刻な脅威をもたらしています。2025年8月に初めて検出されたこのマルウェアは、バンキング認証情報の窃取と広範なスパイウェア機能を組み合わせたものです。
巧妙な配布手法と機能
Frogblightは、欺瞞的なソーシャルエンジニアリングの手法を用いています。当初は、トルコ政府の公式ポータルサイトを通じて裁判記録ファイルにアクセスするためのアプリケーションを装っていました。Kasperskyの研究者によると、Frogblightはスミッシング(SMSフィッシング)を主要な配布経路として利用しています。被害者は、法的手続きに関与していると主張する詐欺的なメッセージを受け取り、正規の政府アプリケーションに見えるものをダウンロードするよう促されます。
一度インストールされると、Frogblightは巧妙な手口でバンキング認証情報を窃取します。マルウェアは、そのWebViewコンポーネント内で裁判記録アクセス用の正規のトルコ政府ウェブページを開き、SMSの読み取り/書き込みアクセス、ファイルシステムアクセス、デバイス情報収集を含む過剰な権限を要求します。ユーザーがオンラインバンキングを通じてログインしようとすると、Frogblightは悪意のあるJavaScriptコードを注入し、すべてのユーザー入力データをキャプチャしてコマンド&コントロール(C2)サーバーに送信します。
このマルウェアは、SMS管理、アクセシビリティサービスから連絡先アクセス、バッテリー最適化バイパスまで、24種類ものデバイス権限を要求し、感染したデバイスをほぼ完全に制御下に置くことができます。
進化する脅威と高度な機能
Kasperskyの分析により、Frogblightは2025年9月を通じて継続的に開発されており、後続のバージョンでは新たな機能が導入されていることが明らかになりました。後期バージョンでは、Chromeブラウザを装い、連絡先リストの流出、通話履歴の収集、カスタムキーボードサービスを介したキーストロークの記録など、追加のスパイウェア機能が実装されています。
最新のサンプルでは、C2通信にREST APIではなくWebSocket接続が採用されており、完全に機能するマルウェアプラットフォームに向けた活発な開発が示唆されています。また、このマルウェアには、米国での実行を阻止し、エミュレータ環境を検出するジオフェンシング機能が含まれており、その開発の背後にいる運用者の洗練された技術がうかがえます。
マルウェア・アズ・ア・サービス(MaaS)の可能性と関連性
Frogblightがマルウェア・アズ・ア・サービス(MaaS)モデルで配布されている可能性を示す証拠も存在します。Kasperskyの研究者らは、脅威アクターがインストールされているバンキングアプリケーションなどのパラメータで被害デバイスを分類し、SMSの一括操作を実行できるWeb管理パネルを発見しました。WebSocket接続に特殊なキーを使用するマルウェアの認証システムも、この配布モデルを裏付けています。
現時点での明確な帰属は不可能ですが、研究者らはFrogblightとGitHub上のCoperマルウェアファミリーとの間に強い関連性があることを発見しました。どちらも関連する脅威アクターアカウントによって管理されており、トルコ語で書かれたコードコメントは、マルウェア開発者がトルコ語を母国語としていることを示唆しています。
対策と推奨事項
Kasperskyは、セキュリティ専門家や組織がこの脅威を特定しブロックするのに役立つ、7つのAPKファイルハッシュ、C2ドメイン、IPアドレス、配布URLを含む複数の侵害指標(IoC)を提供しています。Kaspersky製品は、Frogblightの亜種を「HEUR:Trojan-Banker.AndroidOS.Frogblight.*」、「HEUR:Trojan-Banker.AndroidOS.Agent.eq」および関連するシグネチャとして検出します。
トルコのユーザーは、法的手続きに関する不審なSMSメッセージには極度の注意を払い、非公式なソースからアプリケーションをダウンロードすることを避けるべきです。セキュリティアプリケーションをインストールし、デバイスのパッチを常に最新の状態に保つことが、この新たな脅威に対する重要な防御策となります。