C
月内に
Android向けの新種の銀行木馬「OverlayPhantom」
📌 一言でいうと
Android向けの新種の銀行木馬「OverlayPhantom」が発見されました。このマルウェアは、政府アプリやTikTokなどの偽装アプリを通じて配布され、Androidのアクセシビリティサービスを悪用して高権限を取得します。180以上の金融・暗号資産アプリを標的としたフィッシングオーバーレイを表示して認証情報を窃取し、リアルタイムの画面キャプチャ機能を用いて取引情報を盗み出します。
🔍該当判定
- 社用スマホにAndroid端末を導入している
- 社員がAndroid端末で銀行アプリや仮想通貨アプリを利用している
- Android端末において、Google Playストア以外(野良アプリ)からのインストールを許可している
- Android端末の「ユーザー補助(アクセシビリティ)」設定を、個別のアプリに許可させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないサードパーティ製リンクからのアプリインストールを禁止し、Androidデバイスのアクセシビリティ権限を定期的に確認すること。また、ネットワーク管理者は非標準ポート(9090, 9091, 9092)の異常な通信を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】スマートフォンへの偽アプリインストールにご注意ください
お疲れさまです。情報システム担当です。
Android端末を標的とした、銀行口座や暗号資産の情報を盗み出す悪質なアプリ(OverlayPhantom)が確認されています。
ご協力をお願いしたいこと:
1. 公式のGoogle Playストア以外からアプリをインストールしない
2. 「政府公式アプリ」や「SNSの更新」などを装った不審なリンクをクリックしない
3. スマートフォンの設定で、身に覚えのないアプリに「アクセシビリティ(ユーザー補助)」権限を与えていないか確認する
対応期限: 本日中
お疲れさまです。情報システム担当です。
Android端末を標的とした、銀行口座や暗号資産の情報を盗み出す悪質なアプリ(OverlayPhantom)が確認されています。
ご協力をお願いしたいこと:
1. 公式のGoogle Playストア以外からアプリをインストールしない
2. 「政府公式アプリ」や「SNSの更新」などを装った不審なリンクをクリックしない
3. スマートフォンの設定で、身に覚えのないアプリに「アクセシビリティ(ユーザー補助)」権限を与えていないか確認する
対応期限: 本日中
Subject: [Security Alert] Beware of Fake App Installations on Android Devices
Dear employees,
A new malicious Android banking trojan called 'OverlayPhantom' has been identified. This malware steals financial credentials by pretending to be legitimate apps.
Requested Actions:
1. Do not install applications from unofficial third-party links or sources.
2. Be cautious of links claiming to be 'official government apps' or 'social media updates'.
3. Review your device's 'Accessibility' settings to ensure no suspicious apps have high-level permissions.
Deadline: Immediate
Dear employees,
A new malicious Android banking trojan called 'OverlayPhantom' has been identified. This malware steals financial credentials by pretending to be legitimate apps.
Requested Actions:
1. Do not install applications from unofficial third-party links or sources.
2. Be cautious of links claiming to be 'official government apps' or 'social media updates'.
3. Review your device's 'Accessibility' settings to ensure no suspicious apps have high-level permissions.
Deadline: Immediate
件名: 【共有】Android銀行木馬 OverlayPhantom の検知と対策について
お疲れさまです。Android向けの新種銀行木馬 OverlayPhantom に関する情報共有です。
■ 概要
アクセシビリティサービスを悪用して権限を昇格させ、WebViewを用いたフィッシングオーバーレイで180以上の金融アプリから情報を窃取します。また、MediaProjection APIによるリアルタイム画面キャプチャ機能を備えています。
■ 影響範囲
- Android OS 搭載デバイス
- 金融・暗号資産アプリ利用者
■ 対応手順
1. 端末管理(MDM)等で、未承認のアプリインストール制限を再徹底する
2. ネットワーク境界において、C2通信に使用される非標準ポート(TCP 9090, 9091, 9092)の異常トラフィックを監視する
3. ユーザーに対し、アクセシビリティ権限の不用意な許可を禁止する教育を実施する
■ 参考情報
- Cyble Research and Intelligence Lab (CRIL) Report
対応優先度: 中
対応期限: 随時
お疲れさまです。Android向けの新種銀行木馬 OverlayPhantom に関する情報共有です。
■ 概要
アクセシビリティサービスを悪用して権限を昇格させ、WebViewを用いたフィッシングオーバーレイで180以上の金融アプリから情報を窃取します。また、MediaProjection APIによるリアルタイム画面キャプチャ機能を備えています。
■ 影響範囲
- Android OS 搭載デバイス
- 金融・暗号資産アプリ利用者
■ 対応手順
1. 端末管理(MDM)等で、未承認のアプリインストール制限を再徹底する
2. ネットワーク境界において、C2通信に使用される非標準ポート(TCP 9090, 9091, 9092)の異常トラフィックを監視する
3. ユーザーに対し、アクセシビリティ権限の不用意な許可を禁止する教育を実施する
■ 参考情報
- Cyble Research and Intelligence Lab (CRIL) Report
対応優先度: 中
対応期限: 随時
Subject: [Technical Info] Android Banking Trojan OverlayPhantom
Dear Security Team,
We are sharing technical details regarding the 'OverlayPhantom' Android banking trojan.
■ Overview
OverlayPhantom leverages Android Accessibility Services for persistence and high-level control. It deploys HTML phishing overlays targeting 180+ financial apps and utilizes the MediaProjection API for real-time screen streaming to the C2 server.
■ Scope
- Android OS devices
- Users of financial and cryptocurrency applications
■ Mitigation Steps
1. Enforce strict application whitelisting via MDM to prevent sideloading.
2. Monitor network traffic for anomalies on non-standard ports: TCP 9090 (Screen stream), 9091 (C2 commands), and 9092 (Status reports).
3. Educate users on the risks of granting Accessibility permissions to untrusted apps.
■ Reference
- Cyble Research and Intelligence Lab (CRIL) Report
Priority: Medium
Deadline: Ongoing
Dear Security Team,
We are sharing technical details regarding the 'OverlayPhantom' Android banking trojan.
■ Overview
OverlayPhantom leverages Android Accessibility Services for persistence and high-level control. It deploys HTML phishing overlays targeting 180+ financial apps and utilizes the MediaProjection API for real-time screen streaming to the C2 server.
■ Scope
- Android OS devices
- Users of financial and cryptocurrency applications
■ Mitigation Steps
1. Enforce strict application whitelisting via MDM to prevent sideloading.
2. Monitor network traffic for anomalies on non-standard ports: TCP 9090 (Screen stream), 9091 (C2 commands), and 9092 (Status reports).
3. Educate users on the risks of granting Accessibility permissions to untrusted apps.
■ Reference
- Cyble Research and Intelligence Lab (CRIL) Report
Priority: Medium
Deadline: Ongoing