網路安全公司 Cyble 已識別出一款名為 OverlayPhantom 的新 Android 銀行木馬,目標鎖定 10 個國家中超過 180 個銀行、金融與加密貨幣應用程式。該惡意程式自 2025 年 5 月起便已活躍,並在針對政府主題 URL 假冒的調查中被揭露。OverlayPhantom 透過惡意 URL 分發,這些 URL 會假冒受信任的應用程式;其感染鏈包含兩個階段,始於一個已假冒 ID Austria(奧地利官方政府身分身分應用程式)與 TikTok 的投遞程式(dropper)應用程式。
OverlayPhantom 使用兩階段感染鏈以取得裝置控制權
Cyble 表示,該惡意程式採用兩階段感染鏈,起始於假冒受信任應用程式的投遞程式應用程式。安裝後,OverlayPhantom 會偽裝成 Google Play Services,並濫用 Android 的無障礙服務(Accessibility Service),以取得對感染裝置的更高控制權。該惡意程式是透過假冒 ID Austria(奧地利官方政府身分身分應用程式)與 TikTok 的惡意 URL 進行散佈。
惡意程式鎖定 10 個國家的銀行與加密應用程式
該惡意程式鎖定美國、澳洲、德國、法國、比利時、芬蘭、荷蘭、義大利、西班牙與英國的銀行、金融與加密貨幣應用程式。根據 Cyble 的說法,OverlayPhantom 會監控受害者的前台應用程式,並檢查該應用程式是否包含在其硬編碼的目標清單中。
OverlayPhantom 執行 30+ 遠端指令並顯示假性介面
Cyble 表示,OverlayPhantom 能夠執行超過 30 個遠端指令、進行即時螢幕串流、顯示假性覆蓋介面(overlays),並透過指揮與控制(command-and-control)基礎設施外洩蒐集到的憑證。當在目標應用程式中找到符合項目時,惡意程式會顯示一個假的 WebView 覆蓋介面,設計用以模仿合法的應用程式。這些覆蓋介面能夠擷取使用者名稱、密碼、卡片資訊、PIN 與其他敏感資訊。根據 Cyble 的說法,該惡意程式也能模擬手勢、操縱剪貼簿內容、鎖定裝置螢幕並顯示假通知。該報告稱,OverlayPhantom 會為指令派送、裝置狀態回報與螢幕串流使用不同的指揮與控制連接埠。
常見問題
OverlayPhantom 是什麼?何時被發現?
OverlayPhantom 是由網路安全公司 Cyble 識別出的一款新的 Android 銀行木馬。該惡意程式自 2025 年 5 月起便已活躍,並在針對政府主題 URL 假冒的調查中被揭露。
OverlayPhantom 是如何感染裝置的?
OverlayPhantom 透過假冒受信任應用程式的惡意 URL 進行散佈。該惡意程式採用兩階段感染鏈,起始於已假冒 ID Austria(奧地利官方政府身分身分應用程式)與 TikTok 的投遞程式應用程式。安裝後,它會偽裝成 Google Play Services,並濫用 Android 的無障礙服務(Accessibility Service),以取得對感染裝置的更高控制權。
OverlayPhantom 鎖定哪些國家與應用程式?
該惡意程式鎖定 10 個國家中超過 180 個銀行、金融與加密貨幣應用程式:美國、澳洲、德國、法國、比利時、芬蘭、荷蘭、義大利、西班牙與英國。
