Tehlikeli bir dijital tehdit, özellikle Türkiye'deki mobil kullanıcıları hedef alarak banka hesaplarını boşaltmayı amaçlıyor. Siber güvenlik firması Kaspersky'nin tehdit istihbarat birimi Securelist'ten araştırmacılar, bu Android tabanlı Trojan'ı (normal görünümlü bir dosyanın içinde gizlenen bir virüs) Ağustos 2025'te tespit etti ve adını Frogblight olarak belirledi. Kötü amaçlı yazılım hızla evrim geçirdi ve araştırmacılar, Eylül 2025 boyunca tespiti önlemek için sık güncellemeler not etti.

Dava ve Sosyal Yardım Tuzakları

Frogblight'ın yayılma şekli, smishing (SMS dolandırıcılığı) yoluyla gerçekleşiyor. Dolandırıcılar, Türkiye'deki insanlara, alıcının bir mahkeme davasına karıştığını veya mali yardım almaya uygun olduğunu iddia eden mesajlar gönderiyor ve bir dosya görüntüleyici veya destek uygulaması indirmek için bir bağlantı sağlıyor.

Dolandırıcılar ayrıca, insanları devlet yardımı başvurusu yaptıklarına inandırmak için sahte sosyal destek uygulamalarını (örneğin, Aile ve Sosyal Hizmetler Bakanlığı için sahte portallar veya e-ifade.apk adında dosyalar) taklit ediyor.

Bildiğimiz kadarıyla, korku güçlü bir motivatördür ve birçok insanı kötü amaçlı dosyayı yüklemeye yönlendiriyor. Yüklenince, uygulama, meşru görünmek için ‘Davalarım’ (Mahkeme Davalarım) adını kullanıyor ve SMS okumak ve depolama alanına erişim için geniş izinler talep ediyor.

Yapılan daha fazla araştırma, kodun Türkçe yorumlar içerdiğini ortaya koydu ve bu da yaratıcıların ana dilinin Türkçe olduğunu gösteriyor. İlginç bir şekilde, araştırmacılar virüsün gizlenmek için yeterince akıllı olduğunu not etti; eğer sahte bir telefonda test edildiğini algılarsa (uzmanlar tarafından inceleme için kullanılan) veya cihaz fiziksel olarak Amerika Birleşik Devletleri'nde bulunuyorsa, kendini kapatıyor.

Frogblight'ı dağıtan dolandırıcılık web sitesi (Kaynak: Securelist)

Hırsızlığın Nasıl Gerçekleştiği

SecureList'in detaylı analizi, kötü amaçlı yazılımın sadece şifreleri çalmadığını; aynı zamanda bir casus gibi davrandığını ortaya koyuyor. Bir kullanıcı izin verdikten sonra, uygulama resmi görünmek için gerçek bir devlet web sitesini açıyor. Ardından, kullanıcı bir banka girişini seçene kadar bekliyor ve gizli JavaScript kodunu enjekte ediyor.

Bu kod, kullanıcının yazdığı her şeyi kaydediyor. Daha yeni sürümler, tuş kaydı (tuş vuruşlarını kaydetme), kişi listelerini çalma ve özel arama kayıtlarını toplama gibi ek özellikler ekledi.

Frogblight, mobil bankacılık tehditlerinde endişe verici bir evrimi temsil ediyor, diyor Kaspersky'den kötü amaçlı yazılım analisti Georgy Bubenok ve meşru devlet portallarının kullanılmasının bu tuzakları çok daha etkili hale getirdiğini açıklıyor.

Kılık Değiştirme, Gelişim ve Koruma

Hackerların kılık değiştirme yeteneklerini genişlettiği ve daha yeni sürümlerin Google Chrome tarayıcısı veya evrensel sosyal yardım araçları gibi davrandığı dikkat çekici. Araştırmacılar, hackerların kontrol merkezi, ‘fr0g’ adında bir kurbağa temalı tasarıma sahip olduğu için Frogblight adını seçti. Hatta kaynak kodunu GitHub'da, Coper gibi diğer kötü amaçlı yazılımlarla birlikte buldular ve bunun, diğer suçlulara kötü amaçlı yazılım olarak hizmet (MaaS) olarak satıldığını gösteriyor.

Frogblight web panelinin giriş ekranı (Kaynak: Securelist)

Mali güvenliğinizi korumak için, Kaspersky araştırmacıları, metin veya güvenilir olmayan web siteleri aracılığıyla gönderilen APK dosyalarından kaçınmayı ve uygulama izin taleplerini dikkatlice incelemeyi öneriyor; örneğin, basit bir dosya görüntüleyici, SMS mesajlarınızı yönetmek için izin talep etmemelidir.