СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
16.12.2025
#ИБ

Новый троян для Android выдаёт себя за государственные сервисы, перехватывает банковские данные, пугает пользователей судом

Новый троян для Android выдаёт себя за государственные сервисы, перехватывает банковские данные, пугает пользователей судом

Изображение: N.Tho.Duc (unsplash)

Исследователи из компании «Лаборатория Касперского» зафиксировали появление очередного сложного вредоносного программного обеспечения для Android-устройств. Программа, получившая название Frogblight, использует элементы социальной инженерии, чтобы замаскироваться под официальные государственные приложения.

Первые версии вредоносного ПО были замечены в августе 2025 года. Тогда специалисты обратили внимание на активную кампанию по распространению поддельных уведомлений, оформленных в стиле судебных уведомлений.

Получателю предлагалось установить «приложение» для ознакомления с материалами дела, якобы заведённого в отношении пользователя. После загрузки программа действительно открывает настоящий сайт одного из турецких госресурсов прямо внутри встроенного браузера WebView, что создаёт впечатление подлинности происходящего.

Одновременно с этим запускается скрытая активность. Frogblight запрашивает внушительный объём разрешений — всего 24 пункта, среди которых — доступ к сообщениям, контактной книге, файловой системе, информации о состоянии устройства. Отдельный интерес вызывают попытки получить права на использование сервисов специальных возможностей. После получения нужных полномочий вредонос получает возможность полностью контролировать устройство.

Как пояснили специалисты «Лаборатории Касперского», одна из функций трояна — перехват данных, вводимых при входе в онлайн-банкинг. Это достигается за счёт внедрения вредоносного JavaScript-кода в тот момент, когда пользователь пытается пройти авторизацию. Все вводимые данные немедленно отправляются на внешние серверы. Кроме этого, исследователи отмечают, что троян может отключать режим энергосбережения, чтобы его процессы не были остановлены системой.

Начиная с сентября 2025 года, разработчики зловреда активно вносили изменения в его функциональность. Более поздние сборки начали маскироваться под браузер Chrome и получили расширенный шпионский функционал. Среди новых возможностей — перехват нажатий клавиш с помощью собственной клавиатуры, а также выгрузка журналов вызовов и списка контактов.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: