Los engañadores digitales de Turquía: troyano bancario para Android se hace pasar por portales gubernamentales en una sofisticada estafa por SMS

Cuando un ciudadano turco recibe un mensaje de texto advirtiendo sobre un caso judicial pendiente, el pánico es una reacción natural. Pero para cientos este año, ese miedo ha sido hábilmente convertido en un arma por ciberdelincuentes que emplean un nuevo troyano para Android llamado “Frogblight”: un parásito digital que se disfraza de portal gubernamental, solo para robar credenciales bancarias y datos personales en cuestión de minutos.

Cómo se desarrolla la estafa

Detectada por primera vez en agosto de 2025 por investigadores de Kaspersky, la campaña de Frogblight comienza con un simple SMS. El mensaje afirma que el destinatario tiene un caso judicial y lo insta a descargar una aplicación de apariencia oficial - una que imita el portal de seguimiento de casos del gobierno turco. En realidad, esta aplicación es un caballo de Troya que solicita permisos amplios: acceso a SMS, almacenamiento e información del dispositivo.

Una vez instalada, Frogblight abre un sitio web gubernamental real dentro de una ventana de navegador disfrazada (WebView), incitando a las víctimas a iniciar sesión. Si el usuario ingresa con sus credenciales bancarias, el malware inyecta silenciosamente código malicioso, capturando cada pulsación de tecla y enviándolas a un servidor remoto de comando y control (C2) controlado por los atacantes.

La sofisticación técnica de la operación no termina ahí. Frogblight puede cargar SMS robados, registros de llamadas, contactos e incluso desplegar un teclado personalizado para registrar más pulsaciones. Las versiones más recientes emplean geovallas, apagándose si se ejecutan fuera de Turquía o en entornos de emulación - lo que dificulta el análisis y el rastreo internacional.

Infraestructura y ambiciones criminales

Los investigadores descubrieron que los sitios de phishing utilizados para distribuir Frogblight fueron construidos a partir de código fuente encontrado abiertamente en GitHub, con plantillas fácilmente desplegables en plataformas en la nube como Vercel. Algunas páginas de phishing muestran descaradamente “paneles de administración”, revelando estadísticas de descargas y controles de operador.

Quizás lo más preocupante: el panel web de backend del malware, protegido con claves únicas, permite a los operadores monitorear dispositivos infectados a gran escala. Esta infraestructura, junto con actualizaciones frecuentes de código y comentarios en turco, apunta a un grupo bien organizado que busca comercializar su kit como una plataforma de Malware como Servicio (MaaS) - un modelo de negocio criminal que podría llevar a que variantes de Frogblight se alquilen globalmente.

Se avecina una amenaza mayor

Si bien la mayoría de las infecciones hasta ahora se han limitado a Turquía, el desarrollo continuo y el diseño modular de Frogblight significan que la expansión internacional es solo cuestión de tiempo. Con las líneas entre aplicaciones oficiales y malware cada vez más difusas, la vigilancia es crítica: el próximo SMS convincente podría ser más que una simple estafa - podría ser la puerta de entrada a la ruina financiera.