Posted in Malwares, Vols de données

OverlayPhantom : Le nouveau virus Android qui vide les comptes bancaires dans 10 pays.

   Published Date: 27 mai 2026  Leave a Comment on OverlayPhantom : Le nouveau virus Android qui vide les comptes bancaires dans 10 pays.

Menace Android : Le malware OverlayPhantom cible 180 applications bancaires.

Découvert par les chercheurs de Cyble Research and Intelligence Labs (CRIL), OverlayPhantom est un cheval de Troie bancaire Android particulièrement sophistiqué. Actif depuis mai 2025, ce logiciel malveillant combine ingénierie sociale, contrôle à distance, hameçonnage par superposition et surveillance en temps réel pour orchestrer des fraudes financières à grande échelle.

Il cible actuellement plus de 180 applications de services bancaires, financiers et de cryptomonnaies à travers 10 pays occidentaux (États-Unis, Australie, Allemagne, France, Belgique, Finlande, Pays-Bas, Italie, Espagne et Royaume-Uni).

🛡️ Stratégie d’infection : Piéger la confiance des utilisateurs

OverlayPhantom se propage via des URL malveillantes distribuant des fichiers APK infectés. Pour maximiser ses chances de succès, l’attaquant varie ses leurres en ciblant deux types de confiance :

  • La confiance institutionnelle : Le premier échantillon repéré usurpait l’identité d’ID Austria, l’application officielle d’identité numérique du gouvernement autrichien. Un appât idéal pour inciter les victimes à valider des demandes de vérification.
  • La familiarité grand public : Un second échantillon imitait l’application TikTok pour cibler spécifiquement les utilisateurs espagnols, prouvant la flexibilité de la campagne.

Un processus d’installation en deux étapes

  1. Le faux Play Store : Une fois le fichier téléchargé, la victime fait face à une fausse page de mise à jour Google Play conçue pour endormir sa vigilance.
  2. Le piège de l’accessibilité : Le malware intègre un tutoriel guidé qui incite l’utilisateur à activer les Services d’accessibilité d’Android. Cette autorisation critique offre à l’attaquant un contrôle quasi total sur l’appareil.

⚙️ Abus des privilèges et infrastructure technique

Une fois installé, OverlayPhantom se dissimule sous le nom de « Google Play Services » pour empêcher sa détection et sa suppression. Il établit ensuite une communication avec son infrastructure de commande et de contrôle (C&C) via l’adresse IP 199.217[.]99[.]122, en exploitant trois ports distincts :

  • Port 9092 : Rapports d’état du smartphone.
  • Port 9091 : Réception des commandes de contrôle.
  • Port 9090 : Flux de diffusion d’écran.

⚠️ Plus de 30 commandes à distance : Le pirate peut simuler des clics, des glissements, manipuler le presse-papiers, intercepter les saisies de texte, modifier le volume, bloquer l’écran ou injecter de fausses notifications.

🎯 Des attaques par superposition chirurgicales

La dangerosité d’OverlayPhantom réside dans sa capacité à surveiller en continu les applications ouvertes au premier plan. Lorsqu’il détecte l’ouverture d’une application financière ciblée (présente dans sa liste interne), il déclenche une attaque par superposition (Overlay).

  • Une fausse page de connexion HTML s’affiche instantanément via une WebView.
  • L’imitation visuelle est si parfaite que l’utilisateur ne se doute de rien.
  • Les identifiants et codes PIN saisis sont immédiatement envoyés aux serveurs du pirate.

📺 Espionnage et diffusion d’écran en temps réel

Pour parfaire son attaque, le cheval de Troie utilise l’API MediaProjection d’Android pour lancer une diffusion d’écran en temps réel (commandes startStreamJpeg et stopStreamJpeg).

Le système capture l’activité de l’écran (via une instance nommée “jpeg-stream”), redimensionne les images à une largeur fixe de 540 pixels pour économiser la bande passante, et les transmet en continu sur le port 9090. Le logiciel intègre également un système de résilience : en cas de perte de connexion, il tente plusieurs reconnexions avant de se mettre en pause pour éviter d’éveiller les soupçons par une activité réseau inhabituelle.

📈 Une menace mature en pleine expansion

Les experts du CRIL décrivent OverlayPhantom comme un outil de cybercriminalité mature et méthodiquement conçu. Si les techniques utilisées individuellement ne sont pas nouvelles, leur intégration coordonnée (leurres gouvernementaux, streaming vidéo, contournement des sécurités) en fait une menace redoutable.

Face à la rapidité de son expansion et sa capacité à opérer en toute discrétion, les chercheurs en cybersécurité conseillent aux institutions financières et aux utilisateurs de placer ce malware au rang des menaces de haute priorité.

En Savoir Plus : cyble.com/blog

Author: ZwX

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *