Android-Banking-Trojaner „OverlayPhantom" missbraucht Barrierefreiheitsdienst zur Gerätekontrolle

Die Opfer werden dazu getäuscht, was als eine routinemäßige Systemaktualisierung erscheint, zu installieren; ab diesem Zeitpunkt hat die Malware die Kontrolle übernommen. Analysten Labs (CRIL) stießen auf OverlayPhantom während ihrer Untersuchungen zu Kampagnen zur URL-Imitation mit Regierungsthemen.

In einem (CSN) veröffentlichten Bericht teilte Cyble mit, dass der Malware mehr als 180 Banking-, Finanzdienstleistungs- und Kryptowährungs-Apps in den Vereinigten Staaten, Australien, Deutschland, Frankreich, Belgien, Finnland, den Niederlanden, Italien, Spanien und dem Vereinigten Königreich zum Opfer fallen.

Nach der Installation tarnt sich OverlayPhantom als „Google Play Services" und ist damit für den durchschnittlichen Nutzer nahezu unsichtbar und schwer zu entfernen. den Android-Zugänglichkeitsdienst (Accessibility Service), eine eingebaute Funktion zur Unterstützung, um eine dauerhafte Kontrolle über das infizierte Gerät zu erlangen.

Der Angreifer kann daraufhin über 30

Der Angreifer kann daraufhin über 30 Fernbefehle ausführen, um das Gerät zu manipulieren, ohne dass das Opfer davon merkt. Die weite Reichweite der Attacke in Kombination mit der technischen Sophistik ihres Designs deutet auf eine finanziell motivierte Gruppe hin, die groß angelegte Betrugsvorlagen durchführt.

Mit über 180 betroffenen Apps und Opfern in westlichen Märkten ist OverlayPhantom bei weitem keine kleine Kampagne. Der Missbrauch seine eigentliche Macht über infizierte Geräte.

Sobald das Opfer diese Berechtigung erteilt – geleitet durch ein in der Dropper-App eingebettetes Tutorial – stellt die Malware eine Verbindung zu ihrem Command-and-Control-Server (C&C) unter der IP-Adresse 199.217[.]99[.]122 her.

Technik und Auswirkungen

Der C&C-Datenverkehr wird auf drei dedizierte Ports aufgeteilt: Port 9091 für die Ausgabe, Port 9092 für Statusupdates des Geräts und Port 9090 für die Live-Übertragung des Bildschirms. Diese mehrportige Konfiguration sorgt für eine zuverlässige Kommunikation und erschwert das Blockieren.

Die Malware nutzt die Android MediaProjection-API, um den Bildschirm des Opfers in nahezu Echtzeit mit JPEG-Komprimierung zu übertragen und dem Angreifer so eine Live-Ansicht aller auf dem Gerät angezeigten Inhalte zu ermöglichen. Die verfügbaren Remote-Befehle umfassen ein breites Spektrum an Aktionen.

Der Angreifer kann Tippen, Wischen und lange Drücken simulieren, den Bildschirm sperren, den Inhalt der Zwischenablage manipulieren, gefälschte Benachrichtigungen anzeigen und überlagernde Fenster starten, um PIN-Codes oder Passwörter zu erfassen.

Technik und Auswirkungen

Diese Kontrollmöglichkeiten ermöglichen es dem Bedrohungsakteur, unbefugte Transaktionen durchzuführen, ohne dass das Opfer davon erfährt.

Overlay-Angriffe auf Banking- und Kryptowährungs-Apps OverlayPhantom enthält eine in den Code eingebaute, fest hinterlegte Liste eine Bank- oder Finanz-App öffnet, prüft das Malware-Programm stumm, ob diese App auf der Liste steht.

Bei einem Treffer wird eine gefälschte HTML-Phishing-Seite geladen, in einer WebView-Schicht gerendert und über die legitime Anwendung gelegt. Die gefälschte Oberfläche sieht exakt wie die echte aus. Das Opfer gibt seine Zugangsdaten ein, unter der Annahme, es würde sich bei seiner eigentlichen Bank oder seinem Krypto-Wallet anmelden.

Technischer Hintergrund

Diese Daten werden sofort gesammelt und an den C&C-Server übermittelt, ohne dass ein sichtbares Anzeichen für einen Kompromittierungsvorgang entsteht. Diese Overlay-Technik ist genau der Grund, warum OverlayPhantom so effektiv ist und für Opfer schwer zu erkennen.

Um geschützt zu bleiben, sollten Nutzer Apps ausschließlich Google Play Store herunterladen und auf Links aus SMS, E-Mails oder sozialen Medien verzichten. Das Gewähren für Dienstleistungen der Art „Accessibility Service" an unbekannte Apps sollte unter allen Umständen vermieden werden.

Die Aktivierung der Zwei-Faktor-Authentifizierung bei Bank- und Finanz-Apps fügt eine entscheidende zusätzliche Sicherheitsebene hinzu, selbst wenn Anmeldedaten gestohlen wurden.

Sicherheitslage und Risiko

Die regelmäßige Aktualisierung des Android-Betriebssystems sowie installierter Apps ist ebenso wichtig, da Sicherheitsupdates oft genau die Schwachstellen schließen, die Malware wie OverlayPhantom ausnutzt.

Indikatoren für einen Kompromittierungsstatus (IoCs): URL: Indikator: hxxps://bitlrewards-app[.]com/api/download/IDAustria; Beschreibung: Verteilungs-URL zur Verbreitung: Indikator: 199.217[.]99[.]122; Beschreibung: IP-Adresse des Command-and-Control-Servers.

Datei-Hash (SHA-256): Indikator: 9ef37376bfaa18e193cc72218924ad8ebf56d2667d348f0eae5ae6ec45ab8775f; Beschreibung: Hash einer OverlayPhantom-Malware-Stichprobe. Datei-Hash (SHA-256): Indikator: 8b614a2918378063d6e6655b676ceb52ae65b1510e2cc08087fcac31acb7aeb8d; Beschreibung: Hash einer OverlayPhantom-Malware-Stichprobe.

Sicherheitslage und Risiko

Datei-Hash (SHA-256): Indikator: dc1f2a75f3d5b5bd054a5367bd5015ebc90f3453d63c7cce438c12dc2ae86a; Beschreibung: Hash einer OverlayPhantom-Malware-Stichprobe. Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z. B. [.] ), um eine unbeabsichtigte Auflösung oder Verlinkung zu verhindern.

Defang nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihres SIEM. Tushar ist ein Senior-Berichter für Cybersicherheit und Datenschutzverletzungen. Er spezialisiert sich auf die Berichterstattung über Cybersicherheitsnachrichten, Trends und neue Bedrohungen, Datenlecks sowie Malware-Angriffe.

Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen. Microsoft Office for the Web und Teams wurden betroffen. Mehrere npm-Pakete wurden kompromittiert, um Malware zur Diebstahl kritische Schwachstelle in Plesk ermöglichte Benutzern die Ausführung beliebiger Befehle auf dem Server.