Phần mềm độc hại OverlayPhantom nhắm mục tiêu hơn 180 ứng dụng ngân hàng và crypto trên 10 quốc gia

Công ty an ninh mạng Cyble đã xác định một trojan ngân hàng Android mới có tên OverlayPhantom, nhắm mục tiêu vào hơn 180 ứng dụng ngân hàng, tài chính và tiền mã hóa tại 10 quốc gia. Phần mềm độc hại đã hoạt động từ tháng 5/2025 và được phát hiện trong quá trình điều tra hành vi mạo danh URL theo chủ đề chính phủ. OverlayPhantom được phân phối thông qua các URL độc hại giả mạo các ứng dụng đáng tin cậy và sử dụng chuỗi lây nhiễm hai giai đoạn, bắt đầu từ một ứng dụng dropper đã giả mạo ID Austria, ứng dụng định danh chính thức của chính phủ Áo, và TikTok.

OverlayPhantom sử dụng chuỗi lây nhiễm hai giai đoạn để giành quyền kiểm soát thiết bị

Cyble cho biết phần mềm độc hại sử dụng chuỗi lây nhiễm hai giai đoạn, bắt đầu bằng một ứng dụng dropper giả mạo các ứng dụng đáng tin cậy. Sau khi được cài đặt, OverlayPhantom tự ngụy trang thành Google Play Services và lạm dụng Dịch vụ Trợ năng (Accessibility Service) của Android để giành quyền kiểm soát nâng cao trên thiết bị bị nhiễm. Phần mềm độc hại được phân phối thông qua các URL độc hại giả mạo ID Austria, ứng dụng định danh chính thức của chính phủ Áo, và TikTok.

Malware nhắm mục tiêu các ứng dụng ngân hàng và crypto tại 10 quốc gia

Phần mềm độc hại nhắm vào các ứng dụng ngân hàng, tài chính và tiền mã hóa tại Hoa Kỳ, Australia, Đức, Pháp, Bỉ, Phần Lan, Hà Lan, Ý, Tây Ban Nha và Vương quốc Anh. Theo Cyble, OverlayPhantom theo dõi các ứng dụng đang hiển thị ở nền trước của nạn nhân và kiểm tra xem ứng dụng có nằm trong danh sách mục tiêu được mã hóa cứng hay không.

OverlayPhantom thực thi 30+ lệnh từ xa và hiển thị lớp phủ giả

Cyble cho biết OverlayPhantom có thể thực thi hơn 30 lệnh từ xa, tiến hành phát trực tuyến màn hình theo thời gian thực, hiển thị các lớp phủ giả và đánh cắp (exfiltrate) thông tin đăng nhập đã thu thập thông qua hạ tầng command-and-control. Khi tìm thấy khớp với một ứng dụng nằm trong danh sách mục tiêu, phần mềm độc hại sẽ hiển thị một lớp phủ giả WebView được thiết kế để giống với ứng dụng hợp pháp. Các lớp phủ đó có thể thu thập tên người dùng, mật khẩu, thông tin thẻ, mã PIN và các dữ liệu nhạy cảm khác. Theo Cyble, phần mềm độc hại cũng có thể mô phỏng cử chỉ, thao túng nội dung clipboard, khóa màn hình thiết bị và hiển thị thông báo giả. Báo cáo cho biết OverlayPhantom sử dụng các cổng command-and-control riêng cho việc điều phối lệnh, báo cáo trạng thái thiết bị và phát trực tuyến màn hình.

FAQ

OverlayPhantom là gì và được phát hiện khi nào?

OverlayPhantom là một trojan ngân hàng Android mới do công ty an ninh mạng Cyble xác định. Phần mềm độc hại đã hoạt động từ tháng 5/2025 và được phát hiện trong quá trình điều tra hành vi mạo danh URL theo chủ đề chính phủ.

OverlayPhantom lây nhiễm vào thiết bị bằng cách nào?

OverlayPhantom được phân phối thông qua các URL độc hại giả mạo các ứng dụng đáng tin cậy. Phần mềm độc hại sử dụng chuỗi lây nhiễm hai giai đoạn, bắt đầu từ một ứng dụng dropper đã giả mạo ID Austria, ứng dụng định danh chính thức của chính phủ Áo, và TikTok. Sau khi được cài đặt, nó ngụy trang thành Google Play Services và lạm dụng Dịch vụ Trợ năng (Accessibility Service) của Android để giành quyền kiểm soát nâng cao trên thiết bị bị nhiễm.

OverlayPhantom nhắm mục tiêu những quốc gia và ứng dụng nào?

Phần mềm độc hại nhắm vào hơn 180 ứng dụng ngân hàng, tài chính và tiền mã hóa tại 10 quốc gia: Hoa Kỳ, Australia, Đức, Pháp, Bỉ, Phần Lan, Hà Lan, Ý, Tây Ban Nha và Vương quốc Anh.