Les trompeurs numériques de Turquie : un cheval de Troie bancaire Android se fait passer pour des portails gouvernementaux dans une arnaque SMS sophistiquée

Lorsqu’un citoyen turc reçoit un SMS l’avertissant d’une affaire judiciaire en cours, la panique est une réaction naturelle. Mais pour des centaines de personnes cette année, cette peur a été habilement exploitée par des cybercriminels utilisant un nouveau cheval de Troie Android nommé « Frogblight » - un parasite numérique qui se fait passer pour un portail gouvernemental, afin de dérober en quelques instants des identifiants bancaires et des données personnelles.

Déroulement de l’arnaque

Détectée pour la première fois en août 2025 par les chercheurs de Kaspersky, la campagne Frogblight commence par un simple SMS. Le message affirme que le destinataire a une affaire judiciaire en cours et l’incite à télécharger une application à l’apparence officielle - qui imite le portail de suivi des affaires du gouvernement turc. En réalité, cette application est un cheval de Troie, réclamant de larges autorisations : accès aux SMS, au stockage et aux informations de l’appareil.

Une fois installée, Frogblight ouvre un véritable site gouvernemental dans une fenêtre de navigateur déguisée (WebView), invitant les victimes à se connecter. Si l’utilisateur saisit ses identifiants bancaires, le malware injecte silencieusement du code malveillant, capturant chaque frappe et les transmettant à un serveur de commande et de contrôle (C2) contrôlé par les attaquants.

La sophistication technique de l’opération ne s’arrête pas là. Frogblight peut téléverser les SMS volés, les journaux d’appels, les contacts, et même déployer un clavier personnalisé pour enregistrer d’autres frappes. Les versions récentes utilisent la géorestriction, s’arrêtant si elles sont lancées hors de Turquie ou dans des environnements émulés - rendant l’analyse et la traçabilité internationale plus difficiles.

Infrastructure criminelle et ambitions

Les chercheurs ont découvert que les sites de phishing utilisés pour distribuer Frogblight étaient construits à partir de code source trouvé publiquement sur GitHub, avec des modèles facilement déployés sur des plateformes cloud comme Vercel. Certaines pages de phishing affichent sans vergogne des « panneaux d’administration », révélant des statistiques de téléchargement et des contrôles d’opérateur.

Peut-être le plus inquiétant : le panneau web dorsal du malware, sécurisé par des clés uniques, permet aux opérateurs de surveiller à grande échelle les appareils infectés. Cette infrastructure, associée à des mises à jour fréquentes du code et à des commentaires en turc, indique un groupe bien organisé cherchant à commercialiser leur boîte à outils comme une plateforme Malware-as-a-Service (MaaS) - un modèle commercial criminel qui pourrait voir des variantes de Frogblight louées à l’échelle mondiale.

Une menace plus large se profile

Bien que la plupart des infections soient jusqu’à présent confinées à la Turquie, le développement continu et la conception modulaire de Frogblight signifient qu’une expansion internationale n’est qu’une question de temps. Alors que la frontière entre applications officielles et malwares s’estompe, la vigilance est cruciale : le prochain SMS convaincant pourrait être bien plus qu’une simple arnaque - il pourrait ouvrir la porte à la ruine financière.