Malware OverlayPhantom Mira Mais de 180 Apps Bancários e de Cripto em 10 Países

A empresa de cibersegurança Cyble identificou um novo trojan bancário para Android chamado OverlayPhantom, que mira mais de 180 aplicativos bancários, financeiros e de criptomoedas em 10 países. O malware está ativo desde maio de 2025 e foi descoberto durante uma investigação sobre a personificação (impersonation) de URLs com temas governamentais. O OverlayPhantom é distribuído por URLs maliciosas que imitam aplicativos confiáveis e usa uma cadeia de infecção em duas etapas, começando com um app dropper que personificou o ID Austria, aplicativo oficial de identidade governamental da Áustria, e o TikTok.

OverlayPhantom Usa uma Cadeia de Infecção em Duas Etapas para Obter Controle do Dispositivo

A Cyble afirma que o malware utiliza uma cadeia de infecção em duas etapas que começa com um app dropper personificando aplicativos confiáveis. Uma vez instalado, o OverlayPhantom se disfarça como Google Play Services e explora o Serviço de Acessibilidade do Android para obter controle elevado do dispositivo infectado. O malware foi distribuído por meio de URLs maliciosas que personificavam o ID Austria, aplicativo oficial de identidade governamental da Áustria, e o TikTok.

Malware Mira Apps Bancários e de Cripto em 10 Países

O malware mira aplicativos de bancos, finanças e criptomoedas nos Estados Unidos, Austrália, Alemanha, França, Bélgica, Finlândia, Países Baixos, Itália, Espanha e Reino Unido. Segundo a Cyble, o OverlayPhantom monitora os aplicativos em primeiro plano da vítima e verifica se o app está incluído em sua lista de alvos codificada (hardcoded).

OverlayPhantom Executa 30+ Comandos Remotos e Exibe Overlays Falsos

A Cyble diz que o OverlayPhantom consegue executar mais de 30 comandos remotos, fazer streaming de tela em tempo real, exibir overlays falsos e exfiltrar credenciais coletadas por meio de infraestrutura de comando e controle. Quando há correspondência com um app alvo, o malware exibe um overlay falso do tipo WebView, projetado para parecer com o aplicativo legítimo. Esses overlays podem capturar nomes de usuário, senhas, dados de cartão, PINs e outras informações sensíveis. De acordo com a Cyble, o malware também pode simular gestos, manipular o conteúdo da área de transferência, bloquear a tela do dispositivo e exibir notificações falsas. O relatório afirma que o OverlayPhantom usa portas separadas de comando e controle para despacho de comandos, relatório de status do dispositivo e streaming de tela.

FAQ

O que é o OverlayPhantom e quando ele foi descoberto?

O OverlayPhantom é um novo trojan bancário para Android identificado pela empresa de cibersegurança Cyble. O malware está ativo desde maio de 2025 e foi descoberto durante uma investigação sobre a personificação de URLs com temas governamentais.

Como o OverlayPhantom infecta dispositivos?

O OverlayPhantom é distribuído por URLs maliciosas que imitam aplicativos confiáveis. O malware usa uma cadeia de infecção em duas etapas, começando com um app dropper que personificou o ID Austria, aplicativo oficial de identidade governamental da Áustria, e o TikTok. Uma vez instalado, ele se disfarça como Google Play Services e explora o Serviço de Acessibilidade do Android para obter controle elevado do dispositivo infectado.

Quais países e apps o OverlayPhantom mira?

O malware mira mais de 180 aplicativos bancários, financeiros e de criptomoedas em 10 países: Estados Unidos, Austrália, Alemanha, França, Bélgica, Finlândia, Países Baixos, Itália, Espanha e Reino Unido.