OverlayPhantom-Malware greift 180+ Banking- und Krypto-Apps in 10 Ländern an

Das Cybersicherheitsunternehmen Cyble hat einen neuen Android-Banking-Trojaner namens OverlayPhantom identifiziert, der auf mehr als 180 Banking-, Finanz- und Kryptowährungsanwendungen in 10 Ländern abzielt. Die Schadsoftware ist seit Mai 2025 aktiv und wurde im Zuge einer Untersuchung zu URL-Impersonationen mit Regierungsthema aufgedeckt. OverlayPhantom wird über bösartige URLs verbreitet, die vertrauenswürdige Anwendungen vortäuschen, und nutzt eine zweistufige Infektionskette, die mit einer Dropper-App beginnt, die ID Austria, die offizielle Regierungsidentitäts-App von Österreich, sowie TikTok imitiert.

OverlayPhantom nutzt eine zweistufige Infektionskette, um die Kontrolle über das Gerät zu erlangen

Cyble zufolge verwendet die Malware eine zweistufige Infektionskette, die mit einer Dropper-App beginnt, die vertrauenswürdige Anwendungen imitiert. Sobald sie installiert ist, tarnt sich OverlayPhantom als Google Play Services und missbraucht den Android-Zugänglichkeitsdienst, um eine erhöhte Kontrolle über das infizierte Gerät zu erlangen. Die Schadsoftware wurde über bösartige URLs verteilt, die ID Austria, die offizielle Regierungsidentitäts-App von Österreich, sowie TikTok imitierten.

Malware zielt auf Banking- und Krypto-Apps in 10 Ländern

Die Malware richtet sich auf Banking-, Finanz- und Kryptowährungs-Apps in den Vereinigten Staaten, Australien, Deutschland, Frankreich, Belgien, Finnland, den Niederlanden, Italien, Spanien und dem Vereinigten Königreich. Laut Cyble überwacht OverlayPhantom die Vordergrund-Apps des Opfers und prüft, ob die App in seiner hardcodierten Zielliste enthalten ist.

OverlayPhantom führt 30+ Remote-Kommandos aus und zeigt gefälschte Overlays

Cyble sagt, OverlayPhantom könne mehr als 30 Remote-Kommandos ausführen, Live-Screen-Streaming durchführen, gefälschte Overlays anzeigen und geerntete Zugangsdaten über Command-and-Control-Infrastruktur exfiltrieren. Wenn eine Übereinstimmung mit einer Ziel-App gefunden wird, zeigt die Malware ein gefälschtes WebView-Overlay an, das so gestaltet ist, dass es der legitimen Anwendung ähnelt. Diese Overlays können Benutzernamen, Passwörter, Kartendaten, PINs und andere sensible Informationen erfassen. Laut Cyble kann die Malware außerdem Gesten simulieren, Inhalte der Zwischenablage manipulieren, den Bildschirm des Geräts sperren und gefälschte Benachrichtigungen anzeigen. Der Bericht sagt, OverlayPhantom verwendet separate Command-and-Control-Ports für Kommandodispatch, Statusmeldungen des Geräts und Screen-Streaming.

FAQ

Was ist OverlayPhantom und wann wurde es entdeckt?

OverlayPhantom ist ein neuer Android-Banking-Trojaner, der vom Cybersicherheitsunternehmen Cyble identifiziert wurde. Die Schadsoftware ist seit Mai 2025 aktiv und wurde im Zuge einer Untersuchung zu URL-Impersonationen mit Regierungsthema aufgedeckt.

Wie infiziert OverlayPhantom Geräte?

OverlayPhantom wird über bösartige URLs verbreitet, die vertrauenswürdige Anwendungen vortäuschen. Die Malware nutzt eine zweistufige Infektionskette, die mit einer Dropper-App beginnt, die ID Austria, die offizielle Regierungsidentitäts-App von Österreich, sowie TikTok imitiert. Sobald sie installiert ist, tarnt sie sich als Google Play Services und missbraucht den Android-Zugänglichkeitsdienst, um eine erhöhte Kontrolle über das infizierte Gerät zu erlangen.

Welche Länder und Apps zielt OverlayPhantom an?

Die Malware richtet sich auf mehr als 180 Banking-, Finanz- und Kryptowährungsanwendungen in 10 Ländern: die Vereinigten Staaten, Australien, Deutschland, Frankreich, Belgien, Finnland, die Niederlande, Italien, Spanien und das Vereinigte Königreich.