Malware OverlayPhantom Menargetkan 180+ Aplikasi Perbankan dan Kripto di 10 Negara

Perusahaan keamanan siber Cyble telah mengidentifikasi trojan perbankan Android baru bernama OverlayPhantom yang menargetkan lebih dari 180 aplikasi perbankan, keuangan, dan kripto di 10 negara. Malware ini telah aktif sejak Mei 2025 dan terungkap saat penyelidikan terkait peniruan URL bertema pemerintah. OverlayPhantom didistribusikan melalui URL berbahaya yang meniru aplikasi tepercaya dan menggunakan rantai infeksi dua tahap yang diawali dengan dropper app yang meniru ID Austria, aplikasi identitas pemerintah resmi Austria, serta TikTok.

OverlayPhantom Menggunakan Rantai Infeksi Dua Tahap untuk Mengambil Kendali Perangkat

Cyble mengatakan malware ini menggunakan rantai infeksi dua tahap yang dimulai dari dropper app yang meniru aplikasi tepercaya. Setelah terpasang, OverlayPhantom menyamarkan diri sebagai Google Play Services dan memanfaatkan Android's Accessibility Service untuk mendapatkan kontrol yang ditinggikan atas perangkat yang terinfeksi. Malware didistribusikan melalui URL berbahaya yang meniru ID Austria, aplikasi identitas pemerintah resmi Austria, dan TikTok.

Malware Menargetkan Aplikasi Perbankan dan Kripto di 10 Negara

Malware ini menargetkan aplikasi perbankan, keuangan, dan kripto di Amerika Serikat, Australia, Jerman, Prancis, Belgia, Finlandia, Belanda, Italia, Spanyol, dan Inggris. Menurut Cyble, OverlayPhantom memantau aplikasi yang sedang berada di latar depan korban serta memeriksa apakah aplikasinya termasuk dalam daftar target yang ditanamkan.

OverlayPhantom Menjalankan 30+ Perintah Jarak Jauh dan Menampilkan Overlay Palsu

Cyble mengatakan OverlayPhantom dapat mengeksekusi lebih dari 30 perintah jarak jauh, melakukan streaming layar secara real-time, menampilkan overlay palsu, serta mengeskfiltrasi kredensial hasil perburuan melalui infrastruktur command-and-control. Saat ditemukan kecocokan dengan aplikasi yang ditargetkan, malware menampilkan overlay fake WebView yang dirancang menyerupai aplikasi yang sah. Overlay tersebut dapat menangkap nama pengguna, kata sandi, detail kartu, PIN, dan informasi sensitif lainnya. Menurut Cyble, malware juga dapat mensimulasikan gestur, memanipulasi konten clipboard, mengunci layar perangkat, dan menampilkan notifikasi palsu. Laporan tersebut menyebutkan OverlayPhantom menggunakan port command-and-control terpisah untuk pengiriman perintah, pelaporan status perangkat, dan streaming layar.

FAQ

Apa itu OverlayPhantom dan kapan ditemukan?

OverlayPhantom adalah trojan perbankan Android baru yang diidentifikasi oleh perusahaan keamanan siber Cyble. Malware ini telah aktif sejak Mei 2025 dan terungkap saat penyelidikan terkait peniruan URL bertema pemerintah.

Bagaimana cara OverlayPhantom menginfeksi perangkat?

OverlayPhantom didistribusikan melalui URL berbahaya yang meniru aplikasi tepercaya. Malware menggunakan rantai infeksi dua tahap yang diawali dengan dropper app yang telah meniru ID Austria, aplikasi identitas pemerintah resmi Austria, serta TikTok. Setelah terpasang, malware menyamar sebagai Google Play Services dan menyalahgunakan Android's Accessibility Service untuk mendapatkan kontrol yang ditinggikan atas perangkat yang terinfeksi.

Negara dan aplikasi apa saja yang ditargetkan OverlayPhantom?

Malware ini menargetkan lebih dari 180 aplikasi perbankan, keuangan, dan kripto di 10 negara: Amerika Serikat, Australia, Jerman, Prancis, Belgia, Finlandia, Belanda, Italia, Spanyol, dan Inggris.