Специалисты по кибербезопасности обнаружили новую вредоносную кампанию, нацеленную на пользователей мобильных устройств под управлением Android. Троян OverlayPhantom, активный с мая 2025 года, уже атакует более 180 банковских, финансовых и криптовалютных приложений в десяти странах, включая США, Германию, Францию, Италию, Испанию и Великобританию. Эксперт компании «Газинформсервис» ознакомился с исследованием и объяснил, как троян обходит защиту и как бизнесу защититься от подобных угроз.

Руководитель группы аналитики L1 GSOC компании «Газинформсервис» Андрей Жданухин отметил, что новый Android-троян использует поддельные приложения, маскировку под Google Play Services и злоупотребление механизмом Accessibility Service. «Особую опасность представляют функции удалённого управления устройством, потоковой трансляции экрана и фишинговые overlay-окна, которые практически неотличимы от интерфейсов легитимных банковских приложений. В результате злоумышленники могут не только похищать учётные данные, но и фактически наблюдать за действиями пользователя в режиме реального времени, получая возможность проводить мошеннические операции от его имени», — предупредил он.

Эксперт подчеркнул: подобные кампании показывают, что современная мобильная угроза давно вышла за рамки обычного фишинга и требует постоянного контроля всей экосистемы взаимодействия сотрудников с корпоративными и финансовыми сервисами. Специалист GSOC компании «Газинформсервис» рекомендует уделять особое внимание мониторингу мобильных угроз, контролю использования сторонних приложений и выявлению аномального поведения устройств. За счёт развитой экспертизы обнаружения кибератак и проактивного анализа сетевой активности специалисты центра мониторинга и реагирования на инциденты GSOC способны выявлять признаки компрометации ещё до момента хищения данных.

«Помимо этого стоит не забывать о важности Security Awareness, осведомлённости сотрудников в вопросах безопасности. Это особенно значимо для организаций, сотрудники которых используют мобильные устройства для доступа к корпоративным ресурсам, поскольку успешная атака на смартфон может стать отправной точкой для дальнейшего проникновения злоумышленников в инфраструктуру компании», — добавил Андрей Жданухин.