新型Android银行木马的威胁
一款新的Android银行木马正在针对10个国家的180多款银行、金融和加密货币应用。网络安全公司Cyble表示,这种恶意软件名为OverlayPhantom,通过伪装成可信应用的恶意网址进行传播。
感染链与传播方式
Cyble指出,该恶意软件采用两阶段感染链,首先是一个伪装成奥地利官方身份应用ID Austria和TikTok的投放应用。一旦安装,OverlayPhantom会伪装成Google Play服务,并利用Android的无障碍服务获得对感染设备的高级控制。
目标与功能
该恶意软件主要针对美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国的银行、金融和加密货币应用。Cyble表示,OverlayPhantom可以执行超过30个远程命令,进行实时屏幕流传输,显示虚假覆盖层,并通过指挥与控制基础设施提取收集到的凭据。
信息捕获与操控能力
该恶意软件监控受害者的前台应用,并检查该应用是否在其硬编码的目标列表中。当找到匹配项时,它会显示一个伪造的WebView覆盖层,旨在模仿合法应用。这些覆盖层可以捕获用户名、密码、卡片信息、PIN码和其他敏感信息。
其他恶意功能
根据Cyble的说法,该恶意软件还可以模拟手势、操控剪贴板内容、锁定设备屏幕并显示虚假通知。报告指出,OverlayPhantom使用不同的指挥与控制端口进行命令调度、设备状态报告和屏幕流传输。
Cyble表示,该恶意软件自2025年5月以来一直活跃,并在对政府主题网址伪装的调查中被发现。
