El malware OverlayPhantom ataca a más de 180 apps bancarias y de cripto en 10 países

La firma de ciberseguridad Cyble ha identificado un nuevo troyano bancario para Android llamado OverlayPhantom que ataca a más de 180 aplicaciones bancarias, financieras y de criptomonedas en 10 países. El malware está activo desde mayo de 2025 y se descubrió durante una investigación sobre la suplantación de identidad de URL con temática gubernamental. OverlayPhantom se distribuye mediante URL maliciosas que se hacen pasar por aplicaciones confiables y utiliza una cadena de infección en dos etapas que comienza con una app droppper que ha suplantado a ID Austria, la aplicación oficial de identidad gubernamental de Austria, y a TikTok.

OverlayPhantom Usa una Cadena de Infección en Dos Etapas para Obtener Control del Dispositivo

Cyble afirma que el malware utiliza una cadena de infección en dos etapas que comienza con una app droppper que se hace pasar por aplicaciones confiables. Una vez instalada, OverlayPhantom se disfraza como Google Play Services y abusa del Servicio de Accesibilidad de Android para obtener control elevado sobre el dispositivo infectado. El malware se distribuyó mediante URL maliciosas que suplantaban a ID Austria, la aplicación oficial de identidad gubernamental de Austria, y a TikTok.

El Malware Afecta a Apps Bancarias y de Cripto en 10 Países

El malware se dirige a aplicaciones bancarias, financieras y de criptomonedas en Estados Unidos, Australia, Alemania, Francia, Bélgica, Finlandia, Países Bajos, Italia, España y el Reino Unido. Según Cyble, OverlayPhantom supervisa las aplicaciones en primer plano de la víctima y comprueba si la app está incluida en su lista de objetivos codificada de forma fija.

OverlayPhantom Ejecuta 30+ Comandos Remotos y Muestra Superposiciones Falsas

Cyble dice que OverlayPhantom puede ejecutar más de 30 comandos remotos, realizar transmisión de pantalla en tiempo real, mostrar superposiciones falsas y exfiltrar credenciales recopiladas a través de infraestructura de mando y control. Cuando se detecta una coincidencia con una app objetivo, el malware muestra una superposición falsa tipo WebView diseñada para parecerse a la aplicación legítima. Esas superposiciones pueden capturar nombres de usuario, contraseñas, datos de tarjetas, PIN y otra información sensible. Según Cyble, el malware también puede simular gestos, manipular el contenido del portapapeles, bloquear la pantalla del dispositivo y mostrar notificaciones falsas. El informe señala que OverlayPhantom usa puertos separados de mando y control para el envío de comandos, el reporte del estado del dispositivo y la transmisión de pantalla.

FAQ

¿Qué es OverlayPhantom y cuándo se descubrió?

OverlayPhantom es un nuevo troyano bancario para Android identificado por la firma de ciberseguridad Cyble. El malware ha estado activo desde mayo de 2025 y se descubrió durante una investigación sobre la suplantación de identidad de URL con temática gubernamental.

¿Cómo infecta OverlayPhantom los dispositivos?

OverlayPhantom se distribuye mediante URL maliciosas que suplantan aplicaciones confiables. El malware utiliza una cadena de infección en dos etapas que comienza con una app droppper que se ha hecho pasar por ID Austria, la aplicación oficial de identidad gubernamental de Austria, y por TikTok. Una vez instalado, se disfraza como Google Play Services y abusa del Servicio de Accesibilidad de Android para obtener control elevado sobre el dispositivo infectado.

¿Qué países y apps ataca OverlayPhantom?

El malware se dirige a más de 180 aplicaciones bancarias, financieras y de criptomonedas en 10 países: Estados Unidos, Australia, Alemania, Francia, Bélgica, Finlandia, Países Bajos, Italia, España y el Reino Unido.