Ny Android-banktrojaner: OverlayPhantom
En ny Android-banktrojaner retter seg mot mer enn 180 bank-, finans- og kryptovalutaapplikasjoner i 10 land. Cybersikkerhetsfirmaet Cyble rapporterer at malware kalles OverlayPhantom og distribueres gjennom ondsinnede URL-er som utgir seg for å være pålitelige applikasjoner.
Infeksjonskjede og distribusjon
Ifølge Cyble bruker malware en to-trinns infeksjonskjede, som begynner med en dropper-app som utgir seg for å være ID Austria, Østerrikes offisielle statlige identitetsapplikasjon, samt TikTok. Når den er installert, forkler OverlayPhantom seg som Google Play-tjenester og misbruker Androids tilgjengelighetstjeneste for å få hevet kontroll over den infiserte enheten.
Målretting og funksjoner
Malware retter seg mot bank-, finans- og kryptovalutaapper i USA, Australia, Tyskland, Frankrike, Belgia, Finland, Nederland, Italia, Spania og Storbritannia. Cyble rapporterer at OverlayPhantom kan utføre mer enn 30 eksterne kommandoer, gjennomføre sanntids skjermstrømming, vise falske overlegg og eksfiltrere innsamlede legitimasjoner gjennom en kommandosentralinfrastruktur.
Malware overvåker offerets forgrunnsapplikasjoner og sjekker om appen er inkludert i dens hardkodede mål-liste. Når det finnes et treff, viser det et falskt WebView-overlegg designet for å ligne den legitime applikasjonen.
Denne overleggene kan fange brukernavn, passord, kortdetaljer, PIN-koder og annen sensitiv informasjon.
Ytterligere trusler
Ifølge Cyble kan malware også simulere bevegelser, manipulere innholdet i utklippstavlen, låse enhetens skjerm og vise falske varsler. Rapporten indikerer at OverlayPhantom bruker separate kommandosentralporter for kommandodispatch, rapportering av enhetsstatus og skjermstrømming.
Cyble opplyser at malware har vært aktiv siden mai 2025 og ble avdekket under en etterforskning av URL-imitasjon med regjerings-tema.
Hold deg oppdatert
Følg oss på X, Facebook og Telegram. Ikke gå glipp av noe – Abonner for å få e-postvarsler levert direkte til innboksen din.
