Шкідливе програмне забезпечення OverlayPhantom націлене на 180+ банківських і криптоапів у 10 країнах

Кібербезпекова компанія Cyble виявила новий Android-банківський троян під назвою OverlayPhantom, який націлений на понад 180 банківських, фінансових і криптовалютних застосунків у 10 країнах. Шкідливе ПЗ активне з травня 2025 року та було виявлено під час розслідування, пов’язаного з підробкою URL-адрес під тематику уряду. OverlayPhantom поширюється через шкідливі URL-адреси, що видають себе за надійні застосунки, і використовує двоетапний ланцюг зараження, який починається з dropper-застосунку, що видавав себе за ID Austria — офіційний застосунок ідентифікації уряду Австрії — та TikTok.

OverlayPhantom використовує двоетапний ланцюг зараження, щоб отримати контроль над пристроєм

Cyble повідомляє, що шкідливе ПЗ застосовує двоетапний ланцюг зараження, який починається з dropper-застосунку, що видає себе за надійні застосунки. Після встановлення OverlayPhantom маскується під Google Play Services і зловживає Службою доступності Android, щоб отримати розширені повноваження над зараженим пристроєм. Шкідливе ПЗ поширювалося через шкідливі URL-адреси, що видавали себе за ID Austria — офіційний застосунок ідентифікації уряду Австрії — та TikTok.

Зловмисне ПЗ націлене на банківські та криптозастосунки у 10 країнах

Шкідливе ПЗ націлене на банківські, фінансові та криптовалютні застосунки в США, Австралії, Німеччині, Франції, Бельгії, Фінляндії, Нідерландах, Італії, Іспанії та Сполученому Королівстві. За даними Cyble, OverlayPhantom відстежує застосунки жертви на передньому плані й перевіряє, чи застосунок входить до його жорстко закладеного списку цілей.

OverlayPhantom виконує 30+ віддалених команд і показує фейкові накладання

Cyble стверджує, що OverlayPhantom може виконувати понад 30 віддалених команд, вести потокове відео з екрана в реальному часі, відображати фейкові накладання та ексфільтрувати викрадені облікові дані через інфраструктуру command-and-control. Коли виявляється збіг із націленим застосунком, шкідливе ПЗ відображає фейкове накладання WebView, призначене для імітації легітимного застосунку. Такі накладання можуть захоплювати імена користувачів, паролі, дані карт, PIN-коди та іншу конфіденційну інформацію. За даними Cyble, шкідливе ПЗ також може імітувати жести, маніпулювати вмістом буфера обміну, блокувати екран пристрою та відображати фейкові сповіщення. У звіті зазначається, що OverlayPhantom використовує окремі порти command-and-control для відправлення команд, звітування про стан пристрою та потокового передавання екрана.

FAQ

Що таке OverlayPhantom і коли його було виявлено?

OverlayPhantom — це новий Android-банківський троян, ідентифікований кібербезпековою компанією Cyble. Шкідливе ПЗ активне з травня 2025 року та було виявлено під час розслідування, пов’язаного з підробкою URL-адрес під тематику уряду.

Як OverlayPhantom заражає пристрої?

OverlayPhantom поширюється через шкідливі URL-адреси, що видають себе за надійні застосунки. Шкідливе ПЗ використовує двоетапний ланцюг зараження, який починається з dropper-застосунку, що видавав себе за ID Austria — офіційний застосунок ідентифікації уряду Австрії — та TikTok. Після встановлення він маскується під Google Play Services і зловживає Службою доступності Android, щоб отримати розширений контроль над зараженим пристроєм.

На які країни та застосунки націлений OverlayPhantom?

Шкідливе ПЗ націлене на понад 180 банківських, фінансових і криптовалютних застосунків у 10 країнах: США, Австралії, Німеччині, Франції, Бельгії, Фінляндії, Нідерландах, Італії, Іспанії та Сполученому Королівстві.