Ein neuer Android-Banking-Trojaner
Ein neuer Android-Banking-Trojaner zielt auf mehr als 180 Banking-, Finanz- und Kryptowährungsanwendungen in zehn Ländern ab. Die Cybersicherheitsfirma Cyble berichtet, dass die Malware den Namen OverlayPhantom trägt und über bösartige URLs verbreitet wird, die vertrauenswürdige Anwendungen nachahmen.
Funktionsweise der Malware
Cyble erklärt, dass die Malware eine zweistufige Infektionskette verwendet, die mit einer Dropper-App beginnt, die sich als ID Austria, die offizielle Regierungsidentitätsanwendung Österreichs, sowie als TikTok ausgibt. Nach der Installation tarnt sich OverlayPhantom als Google Play-Dienste und missbraucht den Accessibility-Service von Android, um erhöhte Kontrolle über das infizierte Gerät zu erlangen.
Zielregionen und Funktionen
Die Malware zielt auf Banking-, Finanz- und Kryptowährungs-Apps in den folgenden Ländern ab:
- Vereinigte Staaten
- Australien
- Deutschland
- Frankreich
- Belgien
- Finnland
- Niederlande
- Italien
- Spanien
- Vereinigtes Königreich
Cyble berichtet, dass OverlayPhantom in der Lage ist, mehr als 30 Remote-Befehle auszuführen, Echtzeit-Bildschirmstreaming durchzuführen, gefälschte Überlagerungen anzuzeigen und erbeutete Anmeldedaten über eine Command-and-Control-Infrastruktur zu exfiltrieren.
Überwachung und Datensammlung
Die Malware überwacht die Vordergrundanwendungen des Opfers und prüft, ob die App in ihrer fest codierten Ziel-Liste enthalten ist. Wenn eine Übereinstimmung gefunden wird, wird eine gefälschte WebView-Überlagerung angezeigt, die so gestaltet ist, dass sie der legitimen Anwendung ähnelt. Diese Überlagerungen können Benutzernamen, Passwörter, Kartendetails, PINs und andere sensible Informationen erfassen.
Laut Cyble kann die Malware auch Gesten simulieren, den Inhalt der Zwischenablage manipulieren, den Bildschirm des Geräts sperren und gefälschte Benachrichtigungen anzeigen.
Technische Details
Der Bericht besagt, dass OverlayPhantom separate Command-and-Control-Ports für die Befehlsübertragung, die Berichterstattung über den Gerätestatus und das Bildschirmstreaming verwendet. Cyble berichtet, dass die Malware seit Mai 2025 aktiv ist und während einer Untersuchung zur Nachahmung von URLs mit Regierungsbezug entdeckt wurde.
Bleiben Sie informiert
Folgen Sie uns auf X, Facebook und Telegram, um keine Neuigkeiten zu verpassen – abonnieren Sie, um E-Mail-Benachrichtigungen direkt in Ihr Postfach zu erhalten. Surf The Daily Hodl Mix.
Generiertes Bild: Midjourney. Berichterstattung über die Zukunft der Finanzen, einschließlich Makro, Bitcoin, Ethereum, Krypto und Web 3.
Kategorien: Bitcoin • Ethereum • Trading • Altcoins • Futuremash • Financeflux • Blockchain • Regulierungsbehörden • Betrügereien • HodlX • Pressemitteilungen.
ÜBER UNS | REDAKTIONELLE RICHTLINIE | DATENSCHUTZRICHTLINIE. NUTZUNGSBEDINGUNGEN | KONTAKT | WERBEN SIE BEI UNS.
TRETE UNSEREM TELEGRAM-KANAL BEI. TRETE UNSEREM X-KANAL BEI. TRETE UNSEREM FACEBOOK-KANAL BEI.
COPYRIGHT 2017-2025 THE DAILY HODL.
