Um novo e perigoso trojano bancário para Android, denominado OverlayPhantom, tem sido identificado por analistas de segurança como uma ameaça crescente que visa usuários em dez países, colocando credenciais bancárias, dados financeiros e contas de criptomoedas em risco sério. O malware, que está ativo desde maio de 2025, se espalha através de links maliciosos disfarçados de downloads de aplicativos confiáveis e bem conhecidos.
O que mudou agora
A descoberta do OverlayPhantom foi realizada por analistas do Cyble Research and Intelligence Labs (CRIL) durante a investigação de campanhas de impersonação de URL com tema governamental. O que torna este malware particularmente alarmante é o seu processo de infecção em duas etapas, começando com um aplicativo dropper que se faz passar pelo ID Austria, o aplicativo oficial de identidade do governo austríaco, ou pela plataforma popular TikTok.
Vítimas são enganadas para instalar o que parece ser uma atualização de sistema de rotina, e a partir desse ponto, o malware assume o controle. Uma vez instalado, o OverlayPhantom disfarça-se como "Google Play Services", tornando-o quase impossível para um usuário comum identificar ou remover.
Vetor e exploração
A partir dessa posição, o malware abusa do Serviço de Acessibilidade do Android, um recurso integrado projetado para ajudar usuários com deficiências, para assumir o controle persistente do dispositivo infectado. O ator da ameaça pode então emitir mais de 30 comandos remotos para manipular o dispositivo sem que a vítima perceba.
O conjunto de comandos remotos abrange uma ampla gama de ações. O atacante pode simular toques, deslizes e toques longos, bloquear a tela, manipular o conteúdo da área de transferência, exibir notificações falsas e lançar janelas sobrepostas para capturar códigos PIN ou senhas. Esses controles permitem que o ator da ameaça realize transações não autorizadas sem que a vítima saiba.
O OverlayPhantom mantém uma lista codificada de aplicativos-alvo embutida em seu código. Quando a vítima abre um aplicativo bancário ou financeiro, o malware verifica silenciosamente se esse aplicativo está na sua lista. Se houver uma correspondência, ele exibe uma página de phishing HTML falsificada, renderizada em uma camada WebView, e a coloca sobre o aplicativo legítimo. A tela falsa parece idêntica à real.
Evidências e limites
O tráfego do C&C é dividido em três portas dedicadas: a porta 9091 para emissão de comandos, a porta 9092 para atualizações de status do dispositivo e a porta 9090 para transmissão de tela ao vivo. Essa configuração de múltiplas portas mantém a comunicação funcionando de forma confiável e mais difícil de bloquear. O malware usa a API MediaProjection do Android para transmitir a tela da vítima em tempo quase real usando compressão JPEG, dando ao atacante uma visão ao vivo de tudo no dispositivo.
Os indicadores de comprometimento (IoCs) incluem o IP do servidor C&C 199.217[.]99[.]122 e hashes SHA-256 específicos para amostras do malware. A URL de distribuição identificada é hxxps://bitlrewards-app[.]com/api/download/IDAustria.
Impacto e alcance
A amplitude de seu alcance, combinada com a sofisticação técnica por trás de seu design, aponta para um grupo motivado financeiramente executando uma operação de fraude em larga escala. Com mais de 180 aplicativos alvo e vítimas espalhadas por mercados ocidentais, o OverlayPhantom está longe de ser uma campanha pequena. O malware visa mais de 180 aplicativos bancários, de serviços financeiros e de criptomoedas nos Estados Unidos, Austrália, Alemanha, França, Bélgica, Finlândia, Países Baixos, Itália, Espanha e Reino Unido.
Implicações regulatórias (LGPD)
Embora a campanha seja global, usuários brasileiros também estão em risco devido à popularidade de aplicativos bancários e de criptomoedas no país. A exposição de dados financeiros e credenciais de acesso pode violar a Lei Geral de Proteção de Dados (LGPD), especialmente se houver vazamento de dados pessoais sensíveis. Organizações que lidam com dados de usuários em dispositivos móveis devem considerar a possibilidade de comprometimento de credenciais e implementar medidas de detecção de anomalias.
Medidas de mitigação recomendadas
Para se proteger, os usuários devem baixar aplicativos apenas de plataformas oficiais como a Google Play Store e evitar clicar em links recebidos por SMS, e-mail ou redes sociais. Conceder permissões do Serviço de Acessibilidade a qualquer aplicativo desconhecido deve ser evitado a todo custo. Habilitar a autenticação multifator em aplicativos bancários e financeiros adiciona uma camada crítica de defesa extra, mesmo quando as credenciais são roubadas.
Manter o sistema operacional Android e os aplicativos instalados regularmente atualizados é igualmente importante, pois os patches de segurança frequentemente fecham as exatas vulnerabilidades que malwares como o OverlayPhantom exploram.
Perguntas frequentes
Como o OverlayPhantom se disfarça? Ele se faz passar pelo "Google Play Services" para parecer legítimo e evitar detecção pelo usuário.
Qual é o principal vetor de infecção? Links maliciosos que levam a downloads de aplicativos falsos, muitas vezes disfarçados de atualizações de sistema ou aplicativos governamentais.
Como posso verificar se meu dispositivo está infectado? Verifique as permissões do Serviço de Acessibilidade em suas configurações e procure por aplicativos desconhecidos que tenham acesso a esse recurso.
O que fazer se eu suspeitar de infecção? Desconecte-se da internet imediatamente, desinstale o aplicativo suspeito e execute uma verificação de segurança completa com um antivírus confiável.