FrogBlight: Neuer Android-Trojaner nutzt Behörden-Websites zum Datenklau

Ein neuartiger Android-Banking-Trojaner namens FrogBlight bedroht Nutzer, indem er sich als offizielle Regierungs-App tarnt. Die Schadsoftware nutzt echte Behörden-Webseiten als Fassade, um Bankzugänge zu stehlen – ein gefährlicher Trend für die mobile Sicherheit.

Die Bedrohung verbreitet sich derzeit hauptsächlich in der Türkei über SMS-Phishing. Betroffene erhalten Nachrichten, die sie über ein angebliches Gerichtsverfahren informieren. Ein Link soll zu einer App führen, um die Akten einzusehen. Doch dahinter verbirgt sich der Trojaner.

Nach der Installation zeigt die App tatsächlich eine echte Behörden-Webseite an. Das schafft Vertrauen. Loggt sich der Nutzer dort mit seinen Bankdaten ein – eine gängige Methode zur Identitätsprüfung in vielen Ländern –, schlägt FrogBlight zu. Er fängt die Zugangsdaten in Echtzeit ab.

SMS‑Phishing und Banking‑Trojaner wie FrogBlight tarnen sich zunehmend als offizielle Behörden‑Apps – viele Nutzer erkennen die Falle erst, wenn Kontodaten bereits entwendet wurden. Das kostenlose Anti‑Phishing‑Paket erklärt in vier konkreten Schritten, wie Sie manipulierte Links, gefälschte Apps und Web‑Injections zuverlässig erkennen und Ihr Smartphone sicher konfigurieren. Inklusive Praxistipps, Checklisten für Mitarbeiterschulungen und sofort umsetzbaren Abwehrmaßnahmen. Jetzt Anti-Phishing-Paket kostenlos herunterladen

„Angreifer nutzen hier nicht mehr nur gefälschte Banking-Apps, sondern das Vertrauen in staatliche Portale aus“, warnt Georgy Bubenok, Malware-Analyst bei Kaspersky. Sein Team veröffentlichte den Report am Montag.

Technische Raffinesse und MaaS-Gefahr

Der Name „FrogBlight“ leitet sich von einem Frosch-Motiv im Kontrollpanel der Hacker ab. Die Software ist hoch entwickelt: Sie fordert umfangreiche Berechtigungen an und injiziert schädlichen Code, um Tastatureingaben abzugreifen.

Besorgniserregend ist die mögliche Verbindung zu „Coper“, einem bekannten und hartnäckigen Android-Banking-Trojaner. Die Forscher fanden Code beider Schadprogramme auf demselben GitHub-Profil. Das deutet darauf hin, dass FrogBlight bald als „Malware-as-a-Service“ (MaaS) vermarktet werden könnte. Dabei vermieten Entwickler ihre Schadsoftware an andere Kriminelle, was die Verbreitung explosionsartig beschleunigen würde.

Bislang zielt die Kampagne auf türkische Nutzer ab. Der modulare Aufbau des Trojaners erlaubt es jedoch leicht, ihn auf Banken und Behördenportale in der EU oder Nordamerika anzupassen.

Warum diese Methode so gefährlich ist

FrogBlight steht für einen neuen Trend: Hybride Bedrohungen, die Social Engineering mit technischer Täuschung kombinieren. Klassische Banking-Trojaner legen meist nur ein gefälschtes Fenster über die echte App. FrogBlight missbraucht dagegen eine legitime Website als Hülle.

„Das ist Web-Injection im Hochleistungsbereich“, erklärt ein Mobilsicherheitsspezialist. „Da die Adresszeile eine echte Domain anzeigen kann, sind Nutzer arglos. Der Angriff zielt auf den schwächsten Punkt: den Identitätsdienstleister.“

Diese Entwicklung kommt zu einer Zeit, in der Betrug über Mobile Banking weltweit zunimmt. Laut einem aktuellen IBM-Report stieg die Aktivität von Android-Banking-Trojanern 2025 um einen zweistelligen Prozentsatz – begünstigt durch einfach zugängliche MaaS-Plattformen.

Was Nutzer jetzt erwarten und tun sollten

Experten gehen davon aus, dass FrogBlight sich noch in einer Testphase befindet. Die schnelle Weiterentwicklung – mit Features wie Geofencing und Emulator-Erkennung – deutet auf Vorbereitungen für einen breiteren Einsatz hin.

„Bis zum ersten Quartal 2026 rechnen wir mit Nachahmern dieser ‚Behörden-Köder‘-Taktik in anderen Ländern“, warnt der Kaspersky-Report.

Die wichtigste Schutzmaßnahme für Nutzer lautet: Apps niemals über Links aus SMS installieren, selbst wenn sie offiziell wirken. Behördendienste sollten stets direkt über die offizielle Website oder den Google Play Store aufgerufen werden.

Googles Play Protect erkennt bekannte Varianten von FrogBlight inzwischen. Nutzer, die Apps aus unbekannten Quellen installieren („sideloaden“), bleiben jedoch hochgefährdet.

PS: Wenn Schadsoftware echte Behördenseiten als Hülle nutzt, reicht technische Vorsicht allein oft nicht aus. Das Anti‑Phishing‑Paket zeigt die psychologischen Tricks der Täter, branchenspezifische Angriffsvektoren und vier sofort umsetzbare Verteidigungsmaßnahmen für Privatpersonen und Unternehmen. Laden Sie die Checkliste für sichere Installationsprozesse, Mitarbeiterschulungen und Präventionsschritte herunter – bevor die nächste Kampagne zuschlägt. Anti-Phishing-Paket jetzt anfordern