recipient — получатель сообщения message — текст сообщения msg_id — идентификатор сообщения bulk_sms_command Отправка произвольного SMS-сообщения нескольким получателям. recipients — получатели сообщения message — текст сообщения get_contacts_command Отправка всех контактов на командный сервер. get_app_list_command Отправка на командный сервер информации об установленных на Android-устройстве приложениях. get_files_command Отправка на командный сервер информации обо всех файлах в определенных каталогах. get_call_logs_command Отправка журнала вызовов на командный сервер. get_notifications_command Отправка истории уведомлений на командный сервер. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. take_screenshot_command Создание скриншота. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. update_device Отправка регистрационного сообщения на командный сервер. new_webview_data Сбор данных из WebView. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. new_injection Внедрение кода. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. code — внедряемый код target_app — предположительно, имя пакета целевого приложения add_contact_command Добавление контакта на устройство пользователя. name — имя контакта phone — телефон контакта email — электронная почта контакта contact_add Добавление контакта на устройство пользователя. display_name — имя контакта phone_number — телефон контакта email — электронная почта контакта contact_delete Удаление контакта с устройства пользователя. phone_number — телефон контакта Изменение контакта на устройстве пользователя. display_name — новое имя контакта phone_number — телефон контакта email — новая электронная почта контакта contact_list Отправка всех контактов на командный сервер. file_list Отправка информации обо всех файлах в указанном каталоге на командный сервер. path — путь к каталогу file_download Отправка указанного файла на командный сервер. file_path — путь к файлу download_id — идентификатор, получаемый вместе с командой и отправляемый обратно на командный сервер вместе с запрошенным файлом; с высокой вероятностью используется для упорядочивания данных на командном сервере file_thumbnail Создание миниатюры указанного изображения и отправка на командный сервер. file_path — путь к файлу изображения file_thumbnails Создание миниатюр изображений в указанном каталоге и отправка на командный сервер. folder_path — путь к каталогу Отправка информации о текущем состоянии Android-устройства, такой как уровень заряда батареи и состояния экрана. message_list_request Отправка всех SMS-сообщений с устройства на командный сервер. notification_send title — заголовок уведомления message — текст уведомления app_name — дополнительный текст уведомления package_list_response Сохранение имен пакетов целевых приложений. packages — список всех имен пакетов целевых приложений Каждый элемент списка содержит: package_name — имя пакета целевого приложения active — статус активности вредоносного кода для данного имени пакета delete_contact_command Удаление контакта с устройства пользователя. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. contact_id — идентификатор контакта name — имя контакта file_upload_command Отправка указанного файла на командный сервер. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. file_path — путь к файлу file_name — имя файла file_download_command Загрузка файла на устройство пользователя. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. file_url — URL-адрес загружаемого файла download_path — путь для загрузки download_file_command Загрузка файла на устройство пользователя. В рассматриваемом образце эта функция реализована не полностью, и на момент подготовки отчета нам не встречались варианты с ее полноценной реализацией. file_url — URL-адрес загружаемого файла download_path — путь для загрузки get_permissions_command Отправка на командный сервер регистрационного сообщения, включающего сведения о предоставленных разрешениях. health_check_command Отправка информации о текущем состоянии Android-устройства, такой как уровень заряда батареи и состояние экрана. connect_error Запись сведений об ошибках подключения в системный лог Android. Список ошибок Отправка регистрационного сообщения на командный сервер. disconnect Прекращение отправки ping-запросов на командный сервер и ожидания от него команд. Для аутентификации через WebSocket используется специальный ключ. Фрагмент кода с логикой аутентификации через WebSocket По IP‑адресу, с которым устанавливалось WebSocket‑соединение, оказалась доступна административная панель Frogblight, в которую можно было войти, используя приведенный выше ключ аутентификации. После входа в веб-панель с определенным ключом через нее можно управлять только теми образцами, которые используют тот же ключ. Это наводит на мысль, что Frogblight может распространяться по модели MaaS. Интерфейс экрана входа в веб‑панель Frogblight Судя по меню веб-панели, злоумышленники могут сортировать устройства жертв по различным параметрам, например по наличию банковских приложений, а также рассылать SMS‑сообщения и выполнять другие групповые действия. Жертвы Поскольку некоторые версии Frogblight открывали турецкий портал госуслуг для перехвата данных, вводимых пользователями на сайтах турецких банков, можно с высокой степенью уверенности предположить, что этот зловред нацелен прежде всего на пользователей из Турции. По данным нашей телеметрии, большинство атакованных пользователей действительно находятся в этой стране. Атрибуция Хотя доступная информация не позволяет однозначно отнести Frogblight к какой‑либо известной группе злоумышленников, в ходе анализа Android‑троянца и поиска в Сети упоминаний используемых в нем названий мы обнаружили на GitHub профиль с репозиториями Frogblight, который также создавал репозитории с вредоносным ПО Coper, распространяемым по модели MaaS. Возможно, этот профиль принадлежит злоумышленникам, которые распространяют Coper и начали продвигать Frogblight. Репозитории GitHub с вредоносным ПО Frogblight и Coper Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком. Заключение Новый Android-зловред, получивший название Frogblight, появился недавно и преимущественно нацелен на пользователей из Турции. Это продвинутый банковский троянец, предназначенный для кражи денежных средств. Уже есть реальные жертвы этой угрозы, при этом вредоносное ПО продолжает развиваться, а с выходом новых версий его функциональность расширяется. Возможно, использующие его злоумышленники уже имеют опыт распространения вредоносного ПО, и в этом случае оно может представлять более серьезную угрозу. Мы продолжим следить за его развитием. Индикаторы компрометации Эти и другие индикаторы компрометации, а также все обновления связанной с ними информации доступны клиентам нашего сервиса отчетов о crimeware-угрозах . Чтобы узнать об этом подробнее, свяжитесь с нами по адресу crimewareintel@kaspersky.com . Source: https://securelist.ru/frogblight-banker/114372/