サイバーセキュリティ企業Cybleは、10カ国で180以上のバンキング、金融、暗号資産アプリを標的とする新しいAndroidバンキングトロジャン「OverlayPhantom」を特定した。マルウェアは2025年5月から活動しており、政府を想起させるURLのなりすましに関する調査の中で発見された。OverlayPhantomは、信頼できるアプリを装う不正なURLを通じて配布され、ID Austria、オーストリアの公式の政府ID身分証明アプリ、そしてTikTokを偽装したドロッパーアプリから始まる2段階の感染チェーンを使用する。
OverlayPhantomは、端末の制御を奪うための2段階の感染チェーンを使用
Cybleによると、同マルウェアは信頼できるアプリを装うドロッパーアプリから始まる2段階の感染チェーンを使う。インストールされると、OverlayPhantomは自らをGoogle Play Servicesになりすまし、Androidのアクセシビリティサービスを悪用して感染端末に対する権限を高める。マルウェアは、ID Austria、オーストリアの公式の政府ID身分証明アプリ、そしてTikTokを装う不正なURLを通じて配布された。
マルウェアは10カ国のバンキングおよび暗号資産アプリを標的にする
同マルウェアは、アメリカ、オーストラリア、ドイツ、フランス、ベルギー、フィンランド、オランダ、イタリア、スペイン、そしてイギリスのバンキング、金融、暗号資産アプリを標的としている。Cybleによれば、OverlayPhantomは被害者の前面アプリを監視し、そのハードコードされた対象リストに含まれているかを確認する。
OverlayPhantomは30回以上のリモートコマンドを実行し、偽のオーバーレイを表示
Cybleによると、OverlayPhantomは30以上のリモートコマンドを実行でき、リアルタイムの画面ストリーミングを行い、偽のオーバーレイを表示し、指令・制御(C2)基盤を通じて収集した資格情報を持ち出すことができる。標的アプリと一致が見つかった場合、マルウェアは正規のアプリに似せた偽のWebViewオーバーレイを表示する。これらのオーバーレイは、ユーザー名、パスワード、カード情報、PIN、その他の機密情報を取得できる。Cybleによれば、同マルウェアはジェスチャーをシミュレートし、クリップボードの内容を操作し、端末の画面をロックし、偽の通知を表示することもできる。レポートでは、OverlayPhantomがコマンド送信、端末の状態報告、画面ストリーミング用にそれぞれ別の指令・制御ポートを使用しているとしている。
FAQ
OverlayPhantomとは何で、いつ発見されたのですか?
OverlayPhantomは、サイバーセキュリティ企業Cybleによって特定された新しいAndroidバンキングトロジャンだ。マルウェアは2025年5月から活動しており、政府を想起させるURLのなりすましに関する調査の中で発見された。
OverlayPhantomはどのように端末に感染しますか?
OverlayPhantomは、信頼できるアプリを装う不正なURLを通じて配布される。マルウェアは、ID Austria、オーストリアの公式の政府ID身分証明アプリ、そしてTikTokを偽装したドロッパーアプリから始まる2段階の感染チェーンを使う。インストールされると、自身をGoogle Play Servicesになりすまし、Androidのアクセシビリティサービスを悪用して感染端末に対する権限を高める。
OverlayPhantomはどの国とアプリを標的にしていますか?
同マルウェアは、10カ国のうちアメリカ、オーストラリア、ドイツ、フランス、ベルギー、フィンランド、オランダ、イタリア、スペイン、イギリスで、180以上のバンキング、金融、暗号資産アプリを標的としている。
