มัลแวร์ OverlayPhantom เล็งโจมตีแอปธนาคารและคริปโตมากกว่า 180 รายการ ใน 10 ประเทศ

บริษัทด้านความปลอดภัยไซเบอร์ Cyble ได้ตรวจพบโทรจันธนาคารบน Android ตัวใหม่ชื่อ OverlayPhantom ที่โจมตีแอปธนาคาร การเงิน และสกุลเงินคริปโทมากกว่า 180 รายการใน 10 ประเทศ มัลแวร์ดังกล่าวทำงานมาตั้งแต่เดือนพฤษภาคม 2025 และถูกพบระหว่างการสืบสวนการแอบอ้าง URL ที่มีธีมเกี่ยวกับหน่วยงานภาครัฐ OverlayPhantom ถูกเผยแพร่ผ่าน URL ที่เป็นอันตรายซึ่งแอบอ้างแอปที่น่าเชื่อถือ และใช้ห่วงโซ่การติดเชื้อแบบ 2 ขั้น โดยเริ่มจากแอปดรอปเปอร์ที่แอบอ้าง ID Austria ซึ่งเป็นแอปยืนยันตัวตนภาครัฐอย่างเป็นทางการของออสเตรีย และ TikTok

OverlayPhantom ใช้ห่วงโซ่การติดเชื้อแบบ 2 ขั้นเพื่อควบคุมอุปกรณ์

Cyble ระบุว่ามัลแวร์ใช้ห่วงโซ่การติดเชื้อแบบ 2 ขั้นที่เริ่มจากแอปดรอปเปอร์ซึ่งแอบอ้างแอปที่น่าเชื่อถือ เมื่อถูกติดตั้งแล้ว OverlayPhantom จะปลอมตัวเป็น Google Play Services และใช้บริการ Accessibility ของ Android เพื่อยกระดับการควบคุมอุปกรณ์ที่ติดเชื้อ มัลแวร์ถูกส่งผ่าน URL ที่เป็นอันตรายซึ่งแอบอ้าง ID Austria แอปยืนยันตัวตนภาครัฐอย่างเป็นทางการของออสเตรีย และ TikTok

มัลแวร์เจาะแอปธนาคารและคริปโทใน 10 ประเทศ

มัลแวร์กำหนดเป้าหมายเป็นแอปธนาคาร การเงิน และสกุลเงินคริปโทในสหรัฐอเมริกา ออสเตรเลีย เยอรมนี ฝรั่งเศส เบลเยียม ฟินแลนด์ เนเธอร์แลนด์ อิตาลี สเปน และสหราชอาณาจักร ตามที่ Cyble ระบุ OverlayPhantom จะตรวจสอบแอปที่เหยื่อกำลังใช้งานอยู่เบื้องหน้า และตรวจว่ามีแอปนั้นอยู่ในรายการเป้าหมายที่ฝังโค้ดไว้หรือไม่

OverlayPhantom รันคำสั่งระยะไกลมากกว่า 30 รายการและแสดงโอเวอร์เลย์ปลอม

Cyble ระบุว่า OverlayPhantom สามารถรันคำสั่งระยะไกลมากกว่า 30 รายการ ทำสตรีมมิงหน้าจอแบบเรียลไทม์ แสดงโอเวอร์เลย์ปลอม และขโมยข้อมูลรับรองที่ได้ผ่านโครงสร้างพื้นฐานคำสั่งและควบคุม (command-and-control) เมื่อพบการแข่งขันกับแอปที่ถูกกำหนดเป้าหมาย มัลแวร์จะแสดงโอเวอร์เลย์ปลอมแบบ WebView ที่ออกแบบให้เหมือนแอปที่ถูกต้องตามกฎหมาย โอเวอร์เลย์เหล่านั้นสามารถเก็บชื่อผู้ใช้ รหัสผ่าน ข้อมูลบัตร รหัส PIN และข้อมูลอ่อนไหวอื่น ๆ ตามที่ Cyble ระบุ มัลแวร์ยังสามารถจำลองท่าทาง ปรับเปลี่ยนเนื้อหาในคลิปบอร์ด ล็อกหน้าจออุปกรณ์ และแสดงการแจ้งเตือนปลอม รายงานระบุว่า OverlayPhantom ใช้พอร์ต command-and-control แยกต่างหากสำหรับการส่งคำสั่ง การรายงานสถานะอุปกรณ์ และการสตรีมมิงหน้าจอ

FAQ

OverlayPhantom คืออะไร และพบเมื่อใด?

OverlayPhantom คือโทรจันธนาคารบน Android ตัวใหม่ที่ Cyble บริษัทด้านความปลอดภัยไซเบอร์ระบุ มัลแวร์ทำงานมาตั้งแต่เดือนพฤษภาคม 2025 และถูกพบระหว่างการสืบสวนการแอบอ้าง URL ที่มีธีมเกี่ยวกับหน่วยงานภาครัฐ

OverlayPhantom ติดเชื้ออุปกรณ์ได้อย่างไร?

OverlayPhantom ถูกเผยแพร่ผ่าน URL ที่เป็นอันตรายซึ่งแอบอ้างแอปที่น่าเชื่อถือ มัลแวร์ใช้ห่วงโซ่การติดเชื้อแบบ 2 ขั้น เริ่มจากแอปดรอปเปอร์ที่แอบอ้าง ID Austria ซึ่งเป็นแอปยืนยันตัวตนภาครัฐอย่างเป็นทางการของออสเตรีย และ TikTok เมื่อถูกติดตั้งแล้ว จะปลอมตัวเป็น Google Play Services และใช้บริการ Accessibility ของ Android เพื่อยกระดับการควบคุมอุปกรณ์ที่ติดเชื้อ

OverlayPhantom กำหนดเป้าหมายประเทศและแอปใดบ้าง?

มัลแวร์กำหนดเป้าหมายแอปธนาคาร การเงิน และสกุลเงินคริปโทมากกว่า 180 รายการใน 10 ประเทศ ได้แก่ สหรัฐอเมริกา ออสเตรเลีย เยอรมนี ฝรั่งเศส เบลเยียม ฟินแลนด์ เนเธอร์แลนด์ อิตาลี สเปน และสหราชอาณาจักร