网络安全公司 Cyble 已识别一种名为 OverlayPhantom 的新 Android 银行木马,目标覆盖 10 个国家内超过 180 个银行、金融和加密货币应用。该恶意软件自 2025 年 5 月起已开始活跃,并在一次针对政府主题 URL 冒充的调查中被发现。OverlayPhantom 通过恶意 URL 进行传播,这些 URL 冒充受信任的应用,并采用两阶段感染链:首先从一个已冒充 ID Austria、奥地利官方政府身份认证应用,以及 TikTok 的投递程序应用开始。
OverlayPhantom 使用两阶段感染链获取设备控制权
Cyble 表示,该恶意软件使用两阶段感染链,起始于冒充受信任应用的投递程序应用。安装后,OverlayPhantom 会伪装成 Google Play Services,并滥用 Android 的辅助功能服务(Accessibility Service),以获得对受感染设备的更高权限。该恶意软件通过冒充 ID Austria、奥地利官方政府身份认证应用和 TikTok 的恶意 URL 进行分发。
恶意软件在 10 个国家中瞄准银行与加密应用
该恶意软件瞄准美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国这 10 个国家中的银行、金融和加密货币应用。Cyble 称,OverlayPhantom 会监控受害者的前台应用,并检查该应用是否包含在其硬编码的目标列表中。
OverlayPhantom 执行 30+ 远程命令并展示伪造覆盖层
Cyble 表示,OverlayPhantom 能够执行超过 30 条远程命令,实现实时屏幕流式传输,展示伪造覆盖层,并通过命令与控制基础设施外传窃取的凭据。当检测到与目标应用匹配时,恶意软件会展示一个伪造的 WebView 覆盖层,其设计用于类似于合法应用。这些覆盖层可捕获用户名、密码、卡片信息、PIN 以及其他敏感信息。Cyble 表示,该恶意软件还可以模拟手势、操纵剪贴板内容、锁定设备屏幕并显示伪造通知。该报告称,OverlayPhantom 使用独立的命令与控制端口来进行命令下发、设备状态上报以及屏幕流式传输。
常见问题(FAQ)
OverlayPhantom 是什么?何时被发现?
OverlayPhantom 是由网络安全公司 Cyble 识别的一种新的 Android 银行木马。该恶意软件自 2025 年 5 月起已开始活跃,并在一次针对政府主题 URL 冒充的调查中被发现。
OverlayPhantom 如何感染设备?
OverlayPhantom 通过冒充受信任应用的恶意 URL 进行分发。该恶意软件使用两阶段感染链,始于一个已冒充 ID Austria、奥地利官方政府身份认证应用以及 TikTok 的投递程序应用。安装后,它会伪装成 Google Play Services,并滥用 Android 的辅助功能服务(Accessibility Service),以获得对受感染设备的更高权限。
OverlayPhantom 瞄准哪些国家和应用?
该恶意软件瞄准 10 个国家中的 180 多个银行、金融和加密货币应用:美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国。
