Le malware OverlayPhantom cible plus de 180 applications bancaires et crypto dans 10 pays

La société de cybersécurité Cyble a identifié un nouveau cheval de Troie bancaire Android appelé OverlayPhantom qui cible plus de 180 applications bancaires, financières et de cryptomonnaies dans 10 pays. Le logiciel malveillant est actif depuis mai 2025 et a été découvert lors d’une enquête portant sur l’usurpation d’identités via des URL à thème gouvernemental. OverlayPhantom est diffusé via des URL malveillantes qui se font passer pour des applications de confiance et utilise une chaîne d’infection en deux étapes, commençant par une application dropper qui a usurpé ID Austria, l’application officielle d’identité gouvernementale en Autriche, ainsi que TikTok.

OverlayPhantom Utilise une Chaîne d’Infection en Deux Étapes pour Prendre le Contrôle du Terminal

Cyble indique que le logiciel malveillant utilise une chaîne d’infection en deux étapes qui commence avec une application dropper se faisant passer pour des applications de confiance. Une fois installée, OverlayPhantom se déguise en Google Play Services et exploite le service d’accessibilité d’Android pour obtenir un contrôle renforcé du terminal infecté. Le malware a été diffusé via des URL malveillantes qui se faisaient passer pour ID Austria, l’application officielle d’identité gouvernementale en Autriche, ainsi que TikTok.

Le Malware Cible des Applications Bancaires et Crypto dans 10 Pays

Le malware cible des applications bancaires, financières et de cryptomonnaies aux États-Unis, en Australie, en Allemagne, en France, en Belgique, en Finlande, aux Pays-Bas, en Italie, en Espagne et au Royaume-Uni. D’après Cyble, OverlayPhantom surveille les applications au premier plan de la victime et vérifie si l’application figure dans sa liste de cibles codée en dur.

OverlayPhantom Exécute 30+ Commandes à Distance et Affiche des Superpositions Falses

Cyble affirme qu’OverlayPhantom peut exécuter plus de 30 commandes à distance, réaliser un streaming d’écran en temps réel, afficher des superpositions factices et exfiltrer des identifiants récoltés via une infrastructure de command-and-control. Lorsqu’une correspondance est détectée avec une application ciblée, le malware affiche une superposition WebView factice conçue pour ressembler à l’application légitime. Ces superpositions peuvent capturer des noms d’utilisateur, des mots de passe, des détails de cartes, des codes PIN et d’autres informations sensibles. D’après Cyble, le malware peut aussi simuler des gestes, manipuler le contenu du presse-papiers, verrouiller l’écran du terminal et afficher de fausses notifications. Le rapport indique qu’OverlayPhantom utilise des ports de command-and-control distincts pour l’envoi de commandes, le signalement de l’état du terminal et le streaming d’écran.

FAQ

Qu’est-ce qu’OverlayPhantom et quand a-t-il été découvert ?

OverlayPhantom est un nouveau cheval de Troie bancaire Android identifié par la société de cybersécurité Cyble. Le logiciel malveillant est actif depuis mai 2025 et a été découvert lors d’une enquête portant sur l’usurpation d’identités via des URL à thème gouvernemental.

Comment OverlayPhantom infecte-t-il les terminaux ?

OverlayPhantom est diffusé via des URL malveillantes qui se font passer pour des applications de confiance. Le logiciel malveillant utilise une chaîne d’infection en deux étapes, commençant par une application dropper qui a usurpé ID Austria, l’application officielle d’identité gouvernementale en Autriche, ainsi que TikTok. Une fois installé, il se déguise en Google Play Services et exploite le service d’accessibilité d’Android pour obtenir un contrôle renforcé du terminal infecté.

Quels pays et quelles applications OverlayPhantom cible-t-il ?

Le malware cible plus de 180 applications bancaires, financières et de cryptomonnaies dans 10 pays : les États-Unis, l’Australie, l’Allemagne, la France, la Belgique, la Finlande, les Pays-Bas, l’Italie, l’Espagne et le Royaume-Uni.