كشف خبراء الأمن السيبراني عن ظهور برمجية خبيثة متطورة لأنظمة أندرويد تُعرف باسم “Frogblight”، والتي تستهدف المستخدمين في تركيا بأساليب احتيالية لسرقة بيانات الاعتماد المصرفية والمعلومات الشخصية. هذه البرمجية تمثل تهديداً متزايداً يتطلب يقظة من المستخدمين.
تم اكتشاف هذه البرمجية الخبيثة في أغسطس 2025، وكانت في البداية تتنكر كتطبيق للوصول إلى ملفات القضايا القضائية عبر بوابات حكومية رسمية، قبل أن تتطور لتشمل أشكالاً أكثر عمومية تحاكي تطبيقات شائعة مثل “Chrome”.
برمجية Frogblight الخبيثة: التهديد الجديد الذي يصيب أندرويد
تعتمد البرمجية الخبيثة على منهجية هندسة اجتماعية مُحكمة. يتلقى الضحايا رسائل نصية احتيالية تدعي تورطهم في قضايا قضائية، مع روابط توجههم إلى مواقع حكومية مزيفة مصممة لتوزيع التطبيق الضار.
بمجرد تثبيتها، تطلب Frogblight الوصول إلى أذونات حساسة، بما في ذلك القدرة على قراءة وكتابة الرسائل النصية القصيرة، والوصول إلى مساحة التخزين، واسترداد معلومات الجهاز.
يستمر الخداع عندما يقوم المستخدمون بتشغيل التطبيق، حيث يعرض صفحات ويب حكومية شرعية من خلال عرض مدمج في متصفح لإنشاء انطباع زائف بالأصالة.
حدد محللو Securelist أن Frogblight تعمل كتهديد متعدد الوظائف بقدرات سرقة مصرفية مدمجة مع وظائف تجسس واسعة النطاق، مما يجعلها خطيرة.
تراقب البرمجية وتسجل الرسائل النصية القصيرة بنشاط، وتتتبع التطبيقات المثبتة، وتراقب نظام ملفات الجهاز، ويمكنها إرسال رسائل نصية عشوائية إلى جهات اتصال خارجية.
ربما الأكثر إثارة للقلق هو أن البرمجية الخبيثة تظهر تطوراً مستمراً، مع إضافة ميزات جديدة طوال سبتمبر 2025، مما يشير إلى احتمال توزيعها ضمن نموذج “البرمجيات كخدمة” (Malware-as-a-Service).
آلية الحقن وبنية الأوامر
تعتمد آلية الإصابة الأساسية على حقن تعليمات برمجية خاصة بلغة JavaScript داخل بيئة WebView المخترقة. عندما يتفاعل المستخدمون مع البوابة الحكومية المزيفة المعروضة داخل التطبيق الضار، تلتقط Frogblight بصمت جميع مدخلات المستخدم.
تستهدف البرمجية الخبيثة بشكل خاص محاولات تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت عن طريق بدء شاشات تسجيل الدخول المصرفية تلقائياً بعد تأخير قصير مدته ثانيتان، بغض النظر عن اختيار المستخدم.
يتم التواصل مع خادم القيادة والتحكم (Command-and-Control) من خلال استدعاءات واجهة برمجة التطبيقات (REST API) باستخدام مكتبة Retrofit، حيث تقوم البرمجية الخبيثة بإرسال إشارات دورية إلى وحدة التحكم الخاصة بها كل ثانيتين عند التشغيل.
استخدمت الإصدارات المبكرة نقاط نهاية واجهة برمجة التطبيقات (REST API) التي تتعامل مع مهام مثل جلب الرسائل الصادرة، وتأكيد تنفيذ الأوامر، وتحميل الملفات والبيانات المسروقة.
انتقلت الإصدارات الأحدث إلى استخدام اتصالات WebSocket مع أوامر بتنسيق JSON لتعزيز التخفي والاستمرارية.
تطبق البرمجية الخبيثة آليات استمرارية متطورة من خلال خدمات أندرويد متعددة. تمنع خدمة AccessibilityAutoClickService إزالة التطبيق أثناء فتح مواقع ويب يحددها المهاجم.
تتعامل خدمة PersistentService مع تفاعلات القيادة والتحكم المستمرة، بينما تضمن خدمة BootReceiver استمرارية البرمجية الخبيثة بعد إعادة تشغيل الجهاز من خلال جدولة المهام وتكوين الإنذارات.
تظهر Frogblight تقنيات تهرب إضافية من خلال اكتشاف بيئات المحاكاة وآليات تحديد الموقع الجغرافي التي تقوم بتعطيل الوظائف في الولايات المتحدة.
يتغير رمز التطبيق إلى “Davalarım” (عبارة تركية) على إصدارات أندرويد الأحدث، بينما يظل مخفياً على الأنظمة القديمة، مما يزيد من صعوبة اكتشافه.
تشمل علامات الكشف HEUR:Trojan-Banker.AndroidOS.Frogblight والمتغيرات ذات الصلة في منتجات كاسبرسكي، مما يساعد فرق الأمن على تحديد ومنع هذا التهديد الناشئ.