新たなAndroidバンキングトロイの木馬の概要
新たなAndroidバンキングトロイの木馬が、10カ国にわたる180以上の銀行、金融、暗号通貨アプリを標的にしています。サイバーセキュリティ企業のCybleによると、このマルウェアは「OverlayPhantom」と呼ばれ、信頼できるアプリケーションを装った悪意のあるURLを通じて配布されています。
感染のメカニズム
Cybleは、このマルウェアが二段階の感染チェーンを使用しており、最初にオーストリアの公式政府IDアプリケーションである「ID Austria」や「TikTok」を装ったドロッパーアプリがインストールされると報告しています。
OverlayPhantomがインストールされると、Google Playサービスを装い、Androidのアクセシビリティサービスを悪用して感染したデバイスに対する制御を強化します。
標的と機能
このマルウェアは、アメリカ、オーストラリア、ドイツ、フランス、ベルギー、フィンランド、オランダ、イタリア、スペイン、イギリスの銀行、金融、暗号通貨アプリを標的にしています。Cybleによると、OverlayPhantomは30以上のリモートコマンドを実行し、リアルタイムの画面ストリーミングを行い、偽のオーバーレイを表示し、収集した認証情報をコマンド&コントロールインフラを通じて外部に送信することができます。
このマルウェアは、被害者の前景アプリケーションを監視し、そのアプリがハードコードされたターゲットリストに含まれているかどうかを確認します。一致が見つかると、正規のアプリケーションに似せた偽のWebViewオーバーレイを表示します。
これらのオーバーレイは、ユーザー名、パスワード、カードの詳細、PIN、その他の機密情報をキャプチャすることができます。Cybleによると、このマルウェアはジェスチャーをシミュレートし、クリップボードの内容を操作し、デバイスの画面をロックし、偽の通知を表示することも可能です。
活動の経緯
報告によると、OverlayPhantomはコマンドの送信、デバイスの状態報告、画面ストリーミングのために別々のコマンド&コントロールポートを使用しています。Cybleは、このマルウェアが2025年5月から活動しており、政府をテーマにしたURLの偽装に関する調査中に発見されたと述べています。
私たちをX、Facebook、Telegramでフォローしてください。
