Resumo
Pesquisadores da Kaspersky identificaram uma família de malware Android, denominada Frogblight, que desde agosto de 2025 tem sido distribuída via páginas de phishing e possivelmente smishing, visando sobretudo usuários na Turquia com iscas relacionadas a processos judiciais.
Descoberta e escopo / O que mudou agora
Frogblight foi observado inicialmente disfarçado como um aplicativo para acessar arquivos de processos por meio de uma página governamental falsa. Amostras posteriores passaram a se passar por aplicações mais genéricas, como um navegador Chrome falso. Segundo a Kaspersky, a maioria das vítimas identificadas pela telemetria está localizada na Turquia.
Vetor e exploração / Mitigações
Distribuição e engenharia social: a campanha emprega links que levam o usuário a baixar um APK, possivelmente a partir de SMS (smishing) ou páginas de phishing que imitam sites oficiais. Após a instalação o app solicita permissões sensíveis — leitura/envio de SMS, acesso a armazenamento, serviço de acessibilidade, entre outras — sob a alegação de permitir visualização de documentos judiciais.
Métodos técnicos observados:
- Uso de WebView para abrir páginas oficiais e injetar JavaScript, capturando credenciais e enviando‑as ao servidor de comando e controle (C2).
- Comunicação com C2 via REST API (Retrofit) em versões iniciais; versões posteriores passaram a usar WebSocket com autenticação por chave.
- Funcionalidade de spyware: coleta de SMS, lista de apps instalados, sistema de arquivos, envio de SMS arbitrário e possíveis uploads de ficheiros ou miniaturas para o C2.
Mitigações práticas: evitar instalar APKs fora da loja oficial, não confiar em links recebidos por SMS sem verificação, restringir permissões sensíveis em dispositivos móveis e usar soluções de segurança móvel que deteçam variantes conhecidas (Kaspersky identifica amostras como HEUR:Trojan‑Banker.AndroidOS.Frogblight.* e variantes relacionadas).
Impacto e alcance / Setores afetados
O principal impacto é financeiro e de privacidade para usuários finais: captura de credenciais bancárias, exfiltração de SMS e contactos, e potencial envio de mensagens que podem ampliar a propagação. A mercadoria técnica do malware (painel com filtros por presença de apps bancários, capacidade de envio massivo de SMS) sugere que o ator pode operar em modelo MaaS (Malware‑as‑a‑Service) ou fornecer ferramentas para operadores terceirizados.
Limites das informações / O que falta saber
A Kaspersky informa que, a partir do material analisado, não é possível atribuir com certeza um ator conhecido. Telemetria indica atividade até setembro e desenvolvimento ativo; não há na matéria dados públicos sobre número total de infecções em campo além de sinais regionais na Turquia.
Repercussão / Próximos passos
Usuários e equipes de defesa móvel devem bloquear URLs e domínios conhecidos, monitorar hashes e indicadores listados pela Kaspersky, e educar usuários para não instalar APKs vindos de links. A Kaspersky disponibiliza IOAs/IOCs e hashes de APKs identificados na investigação para clientes que requisitem o serviço de crimeware reporting.
Indicadores citados pela Kaspersky
Hashes e domínios estão publicados no relatório da Kaspersky, incluindo exemplos de APKs e C2 como froglive[.]net e o IP 45.138.16.208:8080, além de repositórios GitHub usados para hospedar páginas de distribuição.