حددت شركة الأمن السيبراني Cyble برنامجًا خبيثًا جديدًا لأجهزة Android على هيئة حصان طروادة مصرفي باسم OverlayPhantom يستهدف أكثر من 180 تطبيقًا مصرفيًا وماليًا وتطبيقات عملات رقمية في 10 دول. ظلّ هذا البرمجية الخبيثة نشطًا منذ مايو 2025، وتم اكتشافه خلال تحقيق حول انتحال عناوين URL ذات طابع حكومي. يتم توزيع OverlayPhantom عبر روابط خبيثة تنحل نفسها كتطبيقات موثوقة، وتستخدم سلسلة عدوى من مرحلتين تبدأ بتطبيق مُنزلِق (dropper) انتحَل صفة ID Austria، وهو تطبيق الهوية الحكومية الرسمي في النمسا، وكذلك TikTok.
OverlayPhantom يستخدم سلسلة عدوى من مرحلتين لاكتساب السيطرة على الجهاز
تقول Cyble إن البرمجية الخبيثة تستخدم سلسلة عدوى من مرحلتين تبدأ بتطبيق مُنزلِق ينحل نفسه كتطبيقات موثوقة. بمجرد تثبيته، يموّه OverlayPhantom نفسه على أنه Google Play Services ويستغل خدمة إمكانية الوصول (Accessibility Service) في Android للحصول على تحكم مُرتفع على الجهاز المصاب. تم توزيع البرمجية الخبيثة عبر روابط خبيثة تنحل نفسها كتطبيقات ID Austria، وهو تطبيق الهوية الحكومية الرسمي في النمسا، وكذلك TikTok.
البرمجية الخبيثة تستهدف تطبيقات بنكية ومرتبطة بالعملات المشفرة في 10 دول
تستهدف البرمجية الخبيثة تطبيقات مصرفية ومالية وتطبيقات عملات رقمية في الولايات المتحدة وأستراليا وألمانيا وفرنسا وبلجيكا وفنلندا وهولندا وإيطاليا وإسبانيا والمملكة المتحدة. ووفقًا لـ Cyble، يراقب OverlayPhantom التطبيقات التي تظهر في المقدمة لدى الضحية ويتحقق مما إذا كان التطبيق مدرجًا في قائمة أهداف ثابتة (hardcoded).
OverlayPhantom ينفذ 30+ أوامر عن بُعد ويعرض تراكبات وهمية
تقول Cyble إن OverlayPhantom يمكنه تنفيذ أكثر من 30 أمرًا عن بُعد، وإجراء بثّ للشاشة في الوقت الحقيقي، وعرض تراكبات وهمية، واستخراج بيانات اعتماد تم حصْرها عبر بنية تحتية للتحكم والسيطرة (command-and-control). عندما يتم العثور على تطابق مع تطبيق مستهدف، تعرض البرمجية الخبيثة تراكبًا وهميًا من نوع WebView مُصممًا ليشبه التطبيق الشرعي. يمكن لتلك التراكبات التقاط أسماء المستخدمين وكلمات المرور وتفاصيل البطاقات والرموز السرية (PINs) ومعلومات حساسة أخرى. ووفقًا لـ Cyble، يمكن للبرمجية الخبيثة أيضًا محاكاة الإيماءات، والتلاعب بمحتوى الحافظة (clipboard)، وقفل شاشة الجهاز، وعرض إشعارات وهمية. ويذكر التقرير أن OverlayPhantom يستخدم منافذ منفصلة للتحكم والسيطرة (command-and-control) لإرسال الأوامر، والإبلاغ عن حالة الجهاز، وبث الشاشة.
FAQ
ما هو OverlayPhantom ومتى تم اكتشافه؟
OverlayPhantom هو حصان طروادة مصرفي جديد لنظام Android تم تحديده بواسطة شركة الأمن السيبراني Cyble. ظلت البرمجية الخبيثة نشطة منذ مايو 2025 وتم اكتشافها خلال تحقيق حول انتحال عناوين URL ذات طابع حكومي.
كيف تُصيب OverlayPhantom الأجهزة؟
يتم توزيع OverlayPhantom عبر روابط خبيثة تنحل نفسها كتطبيقات موثوقة. تستخدم البرمجية الخبيثة سلسلة عدوى من مرحلتين تبدأ بتطبيق مُنزلِق انتحَل صفة ID Austria، وهو تطبيق الهوية الحكومية الرسمي في النمسا، وكذلك TikTok. بمجرد تثبيته، يموّه نفسه على أنه Google Play Services ويستغل خدمة إمكانية الوصول (Accessibility Service) في Android للحصول على تحكم مُرتفع على الجهاز المصاب.
ما الدول والتطبيقات التي تستهدفها OverlayPhantom؟
تستهدف البرمجية الخبيثة أكثر من 180 تطبيقًا مصرفيًا وماليًا وتطبيقًا للعملات المشفرة عبر 10 دول: الولايات المتحدة وأستراليا وألمانيا وفرنسا وبلجيكا وفنلندا وهولندا وإيطاليا وإسبانيا والمملكة المتحدة.
