Обнаружен Android-троян OverlayPhantom: кража данных через фишинговые наложения и трансляцию экрана

remote access Trojan

Специалисты компании Cyble обнаружили новый Android-троян, нацеленный на кражу банковских учётных данных. Вредоносная программа, получившая название OverlayPhantom, активна с мая 2025 года. Она атакует более 180 приложений в десяти странах, включая США, Германию, Францию и Великобританию. Главная особенность трояна - комбинация фишинговых окон поверх легитимных приложений и прямая трансляция экрана заражённого устройства в реальном времени. Это делает кражу паролей практически незаметной для жертвы.

Описание

Распространяется OverlayPhantom через фишинговые ссылки. Злоумышленники маскируют вредоносный установочный файл под официальные приложения с высоким уровнем доверия. Первый обнаруженный образец выдавал себя за ID Austria - государственное приложение цифровой идентификации граждан Австрии. Второй образец имитировал TikTok и, предположительно, нацеливался на пользователей в Испании. Такой выбор приманок не случаен: маскировка под государственный сервис создаёт мощный социальный предлог, заставляя жертву предоставить программе расширенные разрешения под видом проверки личности. Одновременно использование популярного потребительского приложения расширяет охват кампании.

После установки троян использует двухэтапную схему заражения. Сначала пользователь видит поддельное окно обновления Google Play. Интерфейс выглядит убедительно и почти неотличим от настоящего. Жертва соглашается на "обновление", после чего запускается дроппер - программа, которая незаметно устанавливает основную вредоносную нагрузку. Затем злоумышленники выводят пошаговую инструкцию, как включить службу специальных возможностей (Accessibility Service). Этот компонент Android предназначен для помощи людям с ограничениями, но трояны активно используют его для получения полного контроля над устройством: перехвата нажатий, чтения содержимого экрана и выполнения жестов без ведома владельца.

Исследователи Cyble в своём отчёте подробно разбирают технические детали OverlayPhantom. После активации службы специальных возможностей вредоносная программа маскируется под "Google Play Services" - имя системного компонента, которое редко вызывает подозрения. Затем она устанавливает соединение с командным центром (C&C) злоумышленников. Инфраструктура использует три отдельных порта: порт 9092 для передачи статуса устройства, порт 9091 для приёма команд и отправки украденных данных, порт 9090 для трансляции экрана. Такой подход усложняет обнаружение аномального трафика системами защиты сети.

Всего троян поддерживает более 30 удалённых команд. Они позволяют злоумышленнику выполнять практически любые действия на устройстве: имитировать касания, пролистывания, долгие нажатия, изменять громкость, блокировать экран, выводить поддельные уведомления. Особого внимания заслуживает команда pinj: она отображает всплывающее окно для ввода PIN-кода, пароля или графического ключа. Перехваченные таким образом данные мгновенно уходят на сервер злоумышленников.

Наиболее опасной функцией OverlayPhantom является атака с наложением (overlay attack). Вредоносная программа постоянно отслеживает, какое приложение открыто на экране. Если оно входит в список целей (более 180 приложений банков, финансовых сервисов и криптовалютных кошельков), троян загружает из своих ресурсов заранее подготовленную фишинговую HTML-страницу. Эта страница визуально полностью повторяет дизайн легитимного приложения. Она размещается поверх настоящего приложения, и жертва, не подозревая подвоха, вводит логин, пароль или данные карты. Учётные данные уходят злоумышленникам, а пользователь даже не замечает, что взаимодействовал с подделкой.

Дополнительно троян может транслировать весь экран устройства в реальном времени. Используя Android API MediaProjection, он создаёт виртуальный дисплей и захватывает кадры с разрешением 540 пикселей по ширине с сохранением пропорций. Кадры сжимаются в JPEG и передаются через порт 9090. Для злоумышленника это означает почти мгновенный визуальный доступ к происходящему на устройстве: он может наблюдать за вводом кодов подтверждения, просмотром сообщений или процессами в банковских приложениях. Трансляция устойчива к сбоям: программа автоматически переподключается при обрыве сокета.

Анализ кода показывает, что OverlayPhantom нацелен не только на одну страну. В его конфигурации зафиксированы цели из США, Австралии, Германии, Франции, Бельгии, Финляндии, Нидерландов, Италии, Испании и Великобритании. Столь широкий охват указывает на финансово мотивированного злоумышленника, способного организовать масштабное мошенничество на нескольких рынках одновременно. При этом сам троян технически зрелый: каждый этап - от маскировки под доверенные приложения до работы с Accessibility Service и мультипортовой инфраструктуры - тщательно продуман.

Несмотря на то, что отдельные приёмы (вымогательство прав через Accessibility Service, фишинговые наложения) уже известны, их сочетание и уровень реализации делают OverlayPhantom серьёзной угрозой. Пользователям в атакуемых регионах рекомендуется проявлять крайнюю осторожность: не устанавливать приложения по ссылкам из подозрительных сообщений, не предоставлять службе специальных возможностей доступ неизвестным программам и регулярно проверять список установленных приложений на наличие подозрительных имен, замаскированных под "Google Play Services". Организациям из банковского и криптовалютного секторов следует усилить мониторинг аномалий в работе SIEM-систем (класса программных продуктов для управления событиями информационной безопасности) и информировать клиентов о возможных фишинговых атаках. Борьба с такими угрозами требует комплексного подхода, сочетающего технические средства защиты и повышение цифровой грамотности.

Индикаторы компрометации

IPv4

  • 199.217.99.122

URLs

  • https://bitlrewards-app.com/api/download/IDAustria

SHA256

  • 8ddc1f2a75f3d5b5bd054a5367bd5015ebc90f3453d63c7cce438c12dc2ae86a
  • 9ef37376bfaa18e193cc72218924ad8ebf56d2667d348f0eae5ae6ec45ab8775
  • f8b614a2918378063d6e6655b676ceb52ae65b1510e2cc08087fcac31acb7aeb

Комментарии: 0