«“Su caso ya ha sido remitido al juzgado”: así comienza la estafa que vacía tu cuenta bancaria (gracias a Frogblight)»
La pérdida de los ahorros es solo la punta del iceberg: lo que está en riesgo es toda la vida privada.
En el ecosistema Android se ha detectado una nueva campaña maliciosa orientada a usuarios en Turquía. Los especialistas de Kaspersky Lab informaron sobre la aparición del troyano bancario Frogblight, que evoluciona activamente y ya se utiliza para robar credenciales y recopilar información sensible. El malware se hace pasar por aplicaciones legítimas y aprovecha la confianza en servicios estatales como parte del esquema de infección.
Las primeras versiones de Frogblight aparecieron en el verano de 2025 y se distribuyeron mediante SMS de phishing. A los destinatarios se les informó sobre un supuesto caso judicial y se les ofreció un enlace para ver los materiales. Ese enlace abría un sitio falso que imitaba un recurso oficial del estado, desde el cual se proponía instalar una aplicación. Inicialmente parecía un servicio para acceder a expedientes judiciales, y más tarde surgieron variantes disfrazadas de navegador Chrome y otras aplicaciones genéricas.
Tras la instalación, la aplicación solicita permisos ampliados, incluidos acceso a SMS, archivos, aplicaciones instaladas y a los servicios de accesibilidad. A continuación, en una ventana WebView integrada se abre el sitio estatal real, a través del cual el usuario puede acceder a la autenticación, incluido el acceso a la banca por Internet. En ese momento el código malicioso inyecta scripts para interceptar los datos introducidos y enviarlos a un servidor de control.
Además de robar datos bancarios, Frogblight tiene funciones de espionaje. Recopila SMS, la lista de aplicaciones, información sobre archivos, puede enviar mensajes en nombre de la víctima y transmitir registros de llamadas. En versiones posteriores se añadieron capacidades para trabajar con contactos, interceptar notificaciones y registrar pulsaciones de teclas mediante un teclado propio. También se han registrado mecanismos de persistencia en el sistema, inicio automático tras el reinicio y protección contra la eliminación.
Los autores del informe señalan que en septiembre la funcionalidad del malware se amplió de forma activa. Surgieron variantes con comprobaciones del entorno que detienen su ejecución en emuladores o fuera de Turquía, así como versiones con gestión a través de WebSocket en lugar de interfaces REST. En uno de los servidores se encontró una interfaz web para gestionar dispositivos infectados, lo que indica una posible difusión de Frogblight como servicio para ciberdelincuentes.
Según la telemetría, la mayor parte de los ataques se dirigió a Turquía, lo que confirma el carácter focalizado de la campaña. No se pudo establecer una conexión directa con grupos conocidos, pero el análisis de repositorios abiertos mostró cruces con proyectos de otro malware para Android Coper. Un indicio indirecto adicional fue el uso del idioma turco en los comentarios del código.
Los especialistas consideran que Frogblight aún está en fase de desarrollo y puede recibir más funcionalidades antes de que la campaña se reanude con nueva fuerza.
Las huellas digitales son tu debilidad, y los hackers lo saben