Frobblight adlı gelişmiş bir Android bankacılık Truva Atı, bankacılık kimlik bilgilerini ve kişisel verileri çalmak için aldatıcı taktikler kullanarak Türk kullanıcıları hedef alan önemli bir tehdit olarak ortaya çıktı.
Ağustos 2025’te keşfedilen bu kötü amaçlı yazılım, Chrome gibi popüler uygulamaları taklit eden daha genel formlara dönüşmeden önce, başlangıçta kendisini resmi devlet portalları aracılığıyla mahkeme davası dosyalarına erişmeye yönelik bir uygulama olarak gizledi.
Kötü amaçlı yazılım, iyi koordine edilmiş bir sosyal mühendislik yaklaşımıyla çalışır. Mağdurlar, kendilerini kötü niyetli uygulamayı dağıtmak üzere tasarlanmış sahte hükümet web sitelerine yönlendiren bağlantıların yer aldığı, sahte bir şekilde mahkeme davalarına karıştıklarını iddia eden kimlik avı SMS mesajları alıyor.
Frobblight kurulduktan sonra SMS okuma ve yazma yetenekleri, depolama erişimi ve cihaz bilgileri alımı dahil olmak üzere hassas izinlere erişim ister.
Aldatma, kullanıcılar uygulamayı başlattığında da devam ediyor; çünkü uygulama, sahte bir özgünlük hissi yaratmak için yerleşik bir tarayıcı görünümü aracılığıyla meşru devlet web sayfalarını görüntülüyor.
.webp)
Securelist analistleri, Frobblight’ın bankacılık hırsızlığı yetenekleri ve kapsamlı casus yazılım işlevleriyle çok işlevli bir tehdit olarak çalıştığını tespit etti.
Kötü amaçlı yazılım, SMS mesajlarını aktif olarak izler ve kaydeder, yüklü uygulamaları izler, cihazın dosya sistemini izler ve harici kişilere rastgele metin mesajları gönderebilir.
Belki de en endişe verici olanı, kötü amaçlı yazılımın Eylül 2025’te eklenen yeni özelliklerle aktif bir gelişim göstermesi, Hizmet Olarak Kötü Amaçlı Yazılım modeli kapsamında potansiyel dağıtıma işaret ediyor.
Enjeksiyon Mekanizması ve Komut Mimarisi
Temel enfeksiyon mekanizması, güvenliği ihlal edilmiş WebView ortamına JavaScript kod enjeksiyonuna dayanır. Kullanıcılar, kötü amaçlı uygulamanın içinde görüntülenen sahte hükümet portalıyla etkileşime girdiğinde, Frobblight tüm kullanıcı girişlerini sessizce yakalar.
%20and%20after%20launching%20(right)%20(Source%20-%20Securelist).webp)
Kötü amaçlı yazılım, kullanıcının seçimine bakılmaksızın iki saniyelik kısa bir gecikmenin ardından bankacılık giriş ekranlarını otomatik olarak başlatarak özellikle çevrimiçi bankacılıkta oturum açma girişimlerini hedefliyor.
Komuta ve kontrol sunucusuyla iletişim, Retrofit kitaplığını kullanan REST API çağrıları aracılığıyla gerçekleşir ve kötü amaçlı yazılım, etkin olduğunda her iki saniyede bir denetleyicisine ping atar.
İlk sürümler, giden kutusu mesajlarını alma, komut yürütmeyi onaylama ve çalınan dosya ve verileri yükleme gibi görevleri yerine getiren REST API uç noktalarını kullanıyordu.
Daha sonraki varyantlar, gelişmiş gizlilik ve kalıcılık için JSON biçimli komutları kullanan WebSocket bağlantılarına geçiş yaptı.
Kötü amaçlı yazılım, birden fazla Android hizmeti aracılığıyla karmaşık kalıcılık mekanizmaları uyguluyor. AccessibilityAutoClickService, saldırganın belirlediği web sitelerini açarken uygulamanın kaldırılmasını önler.
PersistentService devam eden komut ve kontrol etkileşimlerini yönetirken BootReceiver, iş planlama ve alarm yapılandırması yoluyla cihaz yeniden başlatıldıktan sonra kötü amaçlı yazılımların kalıcı olmasını sağlar.
.webp)
Frobblight, Amerika Birleşik Devletleri’ndeki işlevselliği devre dışı bırakan emülatör ortamlarını ve coğrafi sınırlama mekanizmalarını tespit ederek ek kaçınma teknikleri göstermektedir.
Uygulamanın simgesi yeni Android sürümlerinde “Davalarım” olarak değişiyor, eski sistemlerde ise gizli kalıyor.
Tespit imzaları HEUR:Trojan-Banker.AndroidOS.Frobblight’ı ve Kaspersky ürünlerindeki ilgili varyantları içerir ve güvenlik ekiplerinin ortaya çıkan bu tehdidi tanımlamasına ve engellemesine yardımcı olur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
