Зловредное ПО OverlayPhantom атакует 180+ банковских и крипто-приложений в 10 странах

Кибербезопасностная компания Cyble выявила новый банковский троян для Android под названием OverlayPhantom, который нацелен более чем на 180 банковских, финансовых и криптовалютных приложений в 10 странах. Вредоносная программа активна с мая 2025 года и была обнаружена в ходе расследования, связанного с подменой URL-ссылок в стиле правительственных ресурсов. OverlayPhantom распространяется через вредоносные URL-адреса, выдающие себя за доверенные приложения, и использует двухэтапную цепочку заражения, начинающуюся с dropper-приложения, которое выдавалось за ID Austria, официальное правительственное приложение идентификации Австрии, и TikTok.

OverlayPhantom использует двухэтапную цепочку заражения, чтобы получить контроль над устройством

Cyble сообщает, что вредоносная программа использует двухэтапную цепочку заражения, которая начинается с dropper-приложения, выдающего себя за доверенные приложения. После установки OverlayPhantom маскируется под Google Play Services и злоупотребляет Сервисом специальных возможностей Android, чтобы получить расширенный контроль над зараженным устройством. Вредоносная программа распространялась через вредоносные URL-адреса, имитирующие ID Austria — официальное правительственное приложение идентификации Австрии — и TikTok.

Вредоносная программа нацелена на банковские и криптоприложения в 10 странах

Вредоносная программа нацелена на банковские, финансовые и криптовалютные приложения в Соединенных Штатах, Австралии, Германии, Франции, Бельгии, Финляндии, Нидерландах, Италии, Испании и Великобритании. По данным Cyble, OverlayPhantom отслеживает приложения жертвы, находящиеся на переднем плане, и проверяет, включено ли приложение в ее вшитый список целей.

OverlayPhantom выполняет 30+ удаленных команд и показывает поддельные оверлеи

Cyble утверждает, что OverlayPhantom может выполнять более 30 удаленных команд, вести потоковую передачу экрана в реальном времени, отображать фальшивые оверлеи и эксфильтрировать похищенные учетные данные через инфраструктуру командно-контрольного управления. Когда обнаруживается совпадение с целевым приложением, вредоносная программа отображает поддельный оверлей WebView, предназначенный для имитации легитимного приложения. Эти оверлеи могут захватывать имена пользователей, пароли, данные карт, PIN-коды и другую конфиденциальную информацию. По данным Cyble, вредоносная программа также может симулировать жесты, манипулировать содержимым буфера обмена, блокировать экран устройства и показывать поддельные уведомления. В отчете говорится, что OverlayPhantom использует отдельные порты командно-контрольного управления для отправки команд, отчетности о состоянии устройства и потоковой передачи экрана.

FAQ

Что такое OverlayPhantom и когда он был обнаружен?

OverlayPhantom — это новый банковский троян для Android, который был идентифицирован компанией Cyble в сфере кибербезопасности. Вредоносная программа активна с мая 2025 года и была обнаружена в ходе расследования, связанного с подменой URL-ссылок в стиле правительственных ресурсов.

Как OverlayPhantom заражает устройства?

OverlayPhantom распространяется через вредоносные URL-адреса, которые выдают себя за доверенные приложения. Вредоносная программа использует двухэтапную цепочку заражения, начинающуюся с dropper-приложения, выдававшего себя за ID Austria, официальное правительственное приложение идентификации Австрии, и TikTok. После установки она маскируется под Google Play Services и злоупотребляет Сервисом специальных возможностей Android, чтобы получить расширенный контроль над зараженным устройством.

Какие страны и приложения нацелены на OverlayPhantom?

Вредоносная программа нацелена более чем на 180 банковских, финансовых и криптовалютных приложений в 10 странах: Соединенных Штатах, Австралии, Германии, Франции, Бельгии, Финляндии, Нидерландах, Италии, Испании и Великобритании.