O malware OverlayPhantom visa 180+ aplicações bancárias e cripto em 10 países

A empresa de cibersegurança Cyble identificou um novo trojan bancário para Android chamado OverlayPhantom, que atinge mais de 180 aplicações bancárias, financeiras e de criptomoedas em 10 países. O malware está ativo desde maio de 2025 e foi descoberto durante uma investigação sobre a personificação de URLs com temas governamentais. O OverlayPhantom é distribuído através de URLs maliciosas que se fazem passar por aplicações fidedignas e utiliza uma cadeia de infeção em duas fases, começando com uma app dropper que se fez passar pela ID Austria, a aplicação oficial de identidade governamental da Áustria, e pela TikTok.

OverlayPhantom Usa uma Cadeia de Infeção em Duas Fases para Obter Controlo do Dispositivo

A Cyble afirma que o malware recorre a uma cadeia de infeção em duas fases, que começa com uma app dropper que se faz passar por aplicações fidedignas. Uma vez instalada, o OverlayPhantom disfarça-se como Google Play Services e explora o Serviço de Acessibilidade do Android para obter controlo elevado sobre o dispositivo infetado. O malware foi distribuído através de URLs maliciosas que se faziam passar pela ID Austria, a aplicação oficial de identidade governamental da Áustria, e pela TikTok.

Malware Direciona Apps Bancárias e de Cripto em 10 Países

O malware visa aplicações bancárias, financeiras e de criptomoedas nos Estados Unidos, Austrália, Alemanha, França, Bélgica, Finlândia, Países Baixos, Itália, Espanha e Reino Unido. Segundo a Cyble, o OverlayPhantom monitoriza as aplicações em primeiro plano da vítima e verifica se a app está incluída na sua lista-alvo codificada.

OverlayPhantom Executa 30+ Comandos Remotos e Exibe Overlays Falsos

A Cyble diz que o OverlayPhantom consegue executar mais de 30 comandos remotos, realizar streaming de ecrã em tempo real, exibir overlays falsos e exfiltrar credenciais recolhidas através de infraestrutura de comando e controlo. Quando é detetada uma correspondência com uma app visada, o malware exibe um overlay falso de WebView concebido para se assemelhar à aplicação legítima. Esses overlays podem capturar nomes de utilizador, palavras-passe, dados de cartões, PINs e outras informações sensíveis. De acordo com a Cyble, o malware também consegue simular gestos, manipular o conteúdo da área de transferência, bloquear o ecrã do dispositivo e mostrar notificações falsas. O relatório afirma que o OverlayPhantom utiliza portas separadas de comando e controlo para envio de comandos, comunicação de estado do dispositivo e streaming de ecrã.

FAQ

O que é o OverlayPhantom e quando foi descoberto?

O OverlayPhantom é um novo trojan bancário para Android identificado pela empresa de cibersegurança Cyble. O malware está ativo desde maio de 2025 e foi descoberto durante uma investigação sobre a personificação de URLs com temas governamentais.

Como infeta o OverlayPhantom os dispositivos?

O OverlayPhantom é distribuído através de URLs maliciosas que se fazem passar por aplicações fidedignas. O malware utiliza uma cadeia de infeção em duas fases, começando com uma app dropper que se fez passar pela ID Austria, a aplicação oficial de identidade governamental da Áustria, e pela TikTok. Uma vez instalada, disfarça-se como Google Play Services e explora o Serviço de Acessibilidade do Android para obter controlo elevado sobre o dispositivo infetado.

Que países e apps é que o OverlayPhantom tem como alvo?

O malware visa mais de 180 aplicações bancárias, financeiras e de criptomoedas em 10 países: os Estados Unidos, Austrália, Alemanha, França, Bélgica, Finlândia, Países Baixos, Itália, Espanha e Reino Unido.