Bagong Android Banking Trojan: OverlayPhantom
Isang bagong Android banking trojan ang tumutok sa higit sa 180 banking, financial, at cryptocurrency applications sa 10 bansa. Ayon sa cybersecurity firm na Cyble, ang malware na ito ay tinatawag na OverlayPhantom at ipinamamahagi sa pamamagitan ng mga mapanlinlang na URL na nagpapanggap bilang mga pinagkakatiwalaang aplikasyon.
Mechanismo ng Impeksyon
Ayon sa Cyble, ang malware ay gumagamit ng dalawang yugto ng chain ng impeksyon. Nagsisimula ito sa isang dropper app na nagpapanggap bilang ID Austria, ang opisyal na aplikasyon ng pagkakakilanlan ng gobyerno ng Austria, at TikTok. Kapag na-install, ang OverlayPhantom ay nagpapanggap bilang Google Play Services at inaabuso ang Accessibility Service ng Android upang makakuha ng mataas na kontrol sa nahawaang aparato.
Target na Aplikasyon at Kakayahan
Ang malware ay tumutok sa mga banking, financial, at cryptocurrency apps sa Estados Unidos, Australia, Alemanya, Pransya, Belgium, Finland, Netherlands, Italya, Espanya, at United Kingdom. Sinabi ng firm na ang OverlayPhantom ay maaaring magsagawa ng higit sa 30 remote commands, magsagawa ng real-time screen streaming, magpakita ng pekeng overlays, at mag-exfiltrate ng mga nakuhang kredensyal sa pamamagitan ng command-and-control infrastructure.
Pagsubok at Manipulasyon
Ang malware ay nagmamasid sa mga foreground applications ng biktima at sinusuri kung ang app ay kasama sa hardcoded target list nito. Kapag may natagpuang tugma, nagpakita ito ng pekeng WebView overlay na dinisenyo upang magmukhang lehitimong aplikasyon. Ang mga overlays na ito ay maaaring kumuha ng mga username, password, detalye ng card, PINs, at iba pang sensitibong impormasyon.
Karagdagang Kakayahan ng Malware
Ayon sa Cyble, ang malware ay maaari ring magsimulate ng mga gesture, manipulahin ang nilalaman ng clipboard, i-lock ang screen ng aparato, at magpakita ng pekeng notifications. Ayon sa ulat, ang OverlayPhantom ay gumagamit ng hiwalay na command-and-control ports para sa dispatch ng command, pag-uulat ng estado ng aparato, at screen streaming.
Sinabi ng Cyble na ang malware ay aktibo mula noong Mayo 2025 at natuklasan ito sa isang pagsisiyasat sa impersonation ng URL na may temang gobyerno.
Manatiling Updated
Sundan kami sa X, Facebook, at Telegram. Huwag palampasin ang anumang balita – mag-subscribe upang makakuha ng mga alerto sa email na direktang ipapadala sa iyong inbox.
