Новый банковский троян для Android
Новый банковский троян нацеливается на более чем 180 банковских, финансовых и криптовалютных приложений в 10 странах. Кибербезопасная компания Cyble сообщает, что вредоносное ПО называется OverlayPhantom и распространяется через злонамеренные URL-адреса, которые выдают себя за доверенные приложения.
Методы распространения и заражения
Cyble утверждает, что вредоносное ПО использует двухступенчатую цепочку заражения, начиная с дроппер-приложения, которое маскируется под ID Austria, официальное правительственное приложение идентификации Австрии, и TikTok. После установки OverlayPhantom скрывается под Google Play Services и использует Службу доступности Android для получения повышенного контроля над зараженным устройством.
Цели и возможности вредоносного ПО
Вредоносное ПО нацеливается на банковские, финансовые и криптовалютные приложения в следующих странах:
- Соединенные Штаты
- Австралия
- Германия
- Франция
- Бельгия
- Финляндия
- Нидерланды
- Италия
- Испания
- Великобритания
Компания сообщает, что OverlayPhantom может выполнять более 30 удаленных команд, проводить потоковую передачу экрана в реальном времени, отображать поддельные наложения и эксфильтровать собранные учетные данные через инфраструктуру командного управления.
Методы кражи данных
Вредоносное ПО отслеживает активные приложения жертвы и проверяет, включено ли приложение в его жестко закодированный список целей. Когда совпадение найдено, оно отображает поддельное наложение WebView, предназначенное для имитации легитимного приложения. Эти наложения могут захватывать:
- имена пользователей
- пароли
- данные карт
- PIN-коды
- другую конфиденциальную информацию
Согласно Cyble, вредоносное ПО также может имитировать жесты, манипулировать содержимым буфера обмена, блокировать экран устройства и отображать поддельные уведомления.
Текущая активность и рекомендации
В отчете говорится, что OverlayPhantom использует отдельные порты командного управления для передачи команд, отчетности о состоянии устройства и потоковой передачи экрана. Cyble сообщает, что вредоносное ПО активно с мая 2025 года и было обнаружено в ходе расследования по подделке URL-адресов, связанных с правительством.
Следите за нами в X, Facebook и Telegram. Не пропустите важные события – подписывайтесь, чтобы получать уведомления по электронной почте прямо в ваш почтовый ящик.
Серфите Daily Hodl Mix. Освещая будущее финансов, включая макроэкономику, биткойн, эфир, криптовалюту и веб 3.
