OverlayPhantom 恶意软件在 10 个国家内攻击 180+ 银行和加密应用

网络安全公司 Cyble 已识别一种名为 OverlayPhantom 的新 Android 银行木马，目标覆盖 10 个国家内超过 180 个银行、金融和加密货币应用。该恶意软件自 2025 年 5 月起已开始活跃，并在一次针对政府主题 URL 冒充的调查中被发现。OverlayPhantom 通过恶意 URL 进行传播，这些 URL 冒充受信任的应用，并采用两阶段感染链：首先从一个已冒充 ID Austria、奥地利官方政府身份认证应用，以及 TikTok 的投递程序应用开始。

OverlayPhantom 使用两阶段感染链获取设备控制权

Cyble 表示，该恶意软件使用两阶段感染链，起始于冒充受信任应用的投递程序应用。安装后，OverlayPhantom 会伪装成 Google Play Services，并滥用 Android 的辅助功能服务（Accessibility Service），以获得对受感染设备的更高权限。该恶意软件通过冒充 ID Austria、奥地利官方政府身份认证应用和 TikTok 的恶意 URL 进行分发。

恶意软件在 10 个国家中瞄准银行与加密应用

该恶意软件瞄准美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国这 10 个国家中的银行、金融和加密货币应用。Cyble 称，OverlayPhantom 会监控受害者的前台应用，并检查该应用是否包含在其硬编码的目标列表中。

OverlayPhantom 执行 30+ 远程命令并展示伪造覆盖层

Cyble 表示，OverlayPhantom 能够执行超过 30 条远程命令，实现实时屏幕流式传输，展示伪造覆盖层，并通过命令与控制基础设施外传窃取的凭据。当检测到与目标应用匹配时，恶意软件会展示一个伪造的 WebView 覆盖层，其设计用于类似于合法应用。这些覆盖层可捕获用户名、密码、卡片信息、PIN 以及其他敏感信息。Cyble 表示，该恶意软件还可以模拟手势、操纵剪贴板内容、锁定设备屏幕并显示伪造通知。该报告称，OverlayPhantom 使用独立的命令与控制端口来进行命令下发、设备状态上报以及屏幕流式传输。

常见问题（FAQ）

OverlayPhantom 是什么？何时被发现？

OverlayPhantom 是由网络安全公司 Cyble 识别的一种新的 Android 银行木马。该恶意软件自 2025 年 5 月起已开始活跃，并在一次针对政府主题 URL 冒充的调查中被发现。

OverlayPhantom 如何感染设备？

OverlayPhantom 通过冒充受信任应用的恶意 URL 进行分发。该恶意软件使用两阶段感染链，始于一个已冒充 ID Austria、奥地利官方政府身份认证应用以及 TikTok 的投递程序应用。安装后，它会伪装成 Google Play Services，并滥用 Android 的辅助功能服务（Accessibility Service），以获得对受感染设备的更高权限。

OverlayPhantom 瞄准哪些国家和应用？

该恶意软件瞄准 10 个国家中的 180 多个银行、金融和加密货币应用：美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国。