この記事の要点
- Cybleが180超の金融・仮想通貨アプリを狙うAndroidマルウェアを報告
- 10カ国のユーザーが偽画面で認証情報・資産を窃取されるリスク
10カ国・180超アプリを狙う偽画面攻撃
サイバーセキュリティ企業Cyble(サイブル)は2026年5月27日、180以上の銀行・金融・仮想通貨アプリを標的とするAndroidマルウェア「OverlayPhantom(オーバーレイファントム)」に関する調査結果を公表しました。
標的には銀行アプリに加え、仮想通貨ウォレットや取引所アプリも含まれており、米国・英国・ドイツ・フランス・オーストラリアなど10カ国で利用される180以上のアプリが攻撃対象となっていると報告されています。
OverlayPhantomは、正規アプリの画面を模倣した偽のオーバーレイを表示し、PINやログイン情報、決済関連データを入力させる手口を採用しており、取得した情報は攻撃者側のサーバーへ送信される仕組みとみられています。
Cybleが公開した調査報告書では、感染経路や遠隔操作機能の詳細に加え、標的アプリの監視から認証情報の窃取に至るまでの一連の攻撃手法が明らかにされています。
新種マルウェア「Stealka」の脅威
感染から遠隔操作まで、巧妙な多段構造
政府・TikTok偽装で端末に侵入
Cybleによると、OverlayPhantomはオーストリア政府の公式身分証明アプリ「ID Austria」やTikTokを装ったドロッパーアプリを介して侵入し、本体マルウェアを展開する2段階の感染手法を採用しています。
利用者がアプリをインストールすると、マルウェアはGoogle Playサービスを装いながらAndroidのアクセシビリティサービスの権限取得を試み、端末に対する広範な操作権限を獲得すると報告されています。
こうした配布は信頼性の高いサービスを模倣した悪意あるURLを通じて行われており、Cybleは2025年5月以降の活動を追跡しています。今回の発見は、政府機関をかたるURL偽装の調査を進める過程で明らかになったと説明されています。
画面監視・クリップボード改ざんも実行
感染後のOverlayPhantomは、端末上で前面表示されているアプリを常時監視し、標的リストに含まれるアプリが起動すると、正規アプリに酷似したWebView(ウェブビュー)ベースの偽画面を表示すると報告されています。
利用者がこの偽画面にユーザー名やパスワード、カード情報、PINなどを入力すると、その情報は攻撃者側へ送信される仕組みとなっており、Cybleによると銀行・金融・仮想通貨関連を中心とする180以上のアプリが標的に含まれています。
さらに同マルウェアは30種類以上の遠隔操作コマンドに対応しており、リアルタイムの画面ストリーミングやジェスチャー操作の模倣、クリップボードの改ざん、画面ロック、偽通知の表示などを実行できると報告されています。
Cybleは、コマンド送受信や端末状態の報告、画面ストリーミングにそれぞれ異なるC2(コマンド&コントロール)ポートが使用されていると指摘しており、解析や検知を困難にする構造になっていると説明しています。
仮想通貨ユーザーは資産流出リスクも
Cybleの分析では、標的となっている国として米国・オーストラリア・ドイツ・フランス・ベルギー・フィンランド・オランダ・イタリア・スペイン・英国の10カ国が挙げられています。
なかでも仮想通貨ユーザーは、取引所やウォレット管理アプリへのログイン情報やPINを窃取されることで、不正アクセスや資産流出の被害を受ける危険性が指摘されています。
一方で、OverlayPhantomがGoogle Playストア経由で配布されていることは現時点で確認されておらず、主な感染経路は非公式サイトやサイドロードによるアプリ導入とみられています。
米国内で北朝鮮マルウェア拡散
仮想通貨ユーザーを狙う手口が巧妙化
仮想通貨(暗号資産)ユーザーを標的とするマルウェアは近年、高度な偽装機能や端末制御機能を備える傾向が強まっており、OverlayPhantomもその流れの中で確認された事例の一つとされています。
特に金融アプリや仮想通貨ウォレットを装った偽画面による認証情報の窃取は、利用者自身が正規サービスを利用していると誤認したまま被害を受ける可能性があるため、発見や対処が難しい手口とされています。
Cybleは対策として、公式ストア以外からのアプリインストールを避けることに加え、アクセシビリティサービスに対する不審な権限要求を許可しないよう呼びかけています。
関連の注目記事はこちら
Source:Cyble公式ブログ
サムネイル:AIによる生成画像
