先别急着骂安卓系统安全性差,这个新木马用的手法,恰恰是你我在设置里亲手点的“允许”。
安全研究员最近扒出一个名叫 OverlayPhantom 的银行木马,它在十个国家悄无声息地活动了至少一个月。从 2025 年 5 月开始,这玩意儿就靠一条恶意链接传播,外面包着一层“正经 App”的皮,等你点开下载。下载完你以为只是个系统更新包,结果它直接接管了手机里那项为残障人士设计的核心权限。然后,超过 180 款银行、支付、加密货币应用全成了它的提款机。
这场景是不是听着有点熟悉?但 OverlayPhantom 的玩法比以前的银行木马更流氓,它把安卓无障碍服务(Accessibility Service)用到了极致。
下面咱们就按它的攻击链,一条条拆开看。
1. 投放器假装成奥地利官方 App 或 TikTok
OverlayPhantom 不走寻常路,它用了一个两阶段感染流程。第一阶段先让你装一个“投放器”App,这个 App 会伪装成 ID Austria(奥地利政府的官方身份应用)或者海外版 TikTok。
你以为是官网下的,其实链接指向的压根是伪造页面。等装好打开,它再提示你“需要装个系统更新”,一同意,真正的木马就溜进来了。
这里有个细节非常鸡贼:投放器里内嵌了一套“引导教程”,一步步教你把无障碍权限打开。用户还以为是在按正常流程设置新应用,其实权限一开,事就大了。
2. 伪装成“Google Play Services”,连图标都抄
真正植入的木马模块,安装完会把自己改名叫“Google Play Services”。图标、名称和系统服务一模一样,普通用户想找都找不到。就算你打开应用列表搜,也很难分辨哪个是真服务哪个是假壳。
这一步直接拔高了存活率——没法轻易卸载,因为名字和系统组件撞车,用户根本不敢乱删。
3. 无障碍权限一开,屏幕等于给黑客开直播
一旦无障碍服务权限被授予,OverlayPhantom 立刻连上命令与控制(C&C)服务器,地址是 199.217[.]99[.]122。这个木马用三个专用端口同时维护连接:端口 9091 负责接收远程指令,端口 9092 回传设备状态,端口 9090 搞实时屏幕推流。
实时推流这块,它调用了安卓的 MediaProjection API,用 JPEG 压缩把受害者的屏幕画面近乎实时地传出去。黑客那边就像开着视频通话,能看到你手机上的一切操作,包括你输入密码、打开银行 App、确认交易的整个过程。
4. 30 多条远程命令把你手机变成傀儡
拿到无障碍权限和屏幕画面还不够,OverlayPhantom 的指令集多达 30 多条远程命令。攻击者可以模拟点击、滑动、长按,锁死你的屏幕,改动剪贴板内容,弹出伪造通知,最致命的是能在任意界面上叠加假窗口。
这些假窗口就是专门用来钓取 PIN 码、密码或支付验证码的。你以为自己在银行 App 里输密码,界面却是个一模一样的浮层,所有输入都被直接打包发给黑客。甚至能操控你的手机在后台完成转账,你屏幕上看可能根本没动静。
5. 覆盖 10 国 180+ 金融及加密应用,手笔不小
Cyble 研究团队在追踪一批政府主题钓鱼域名时撞上了这个木马,他们发现 OverlayPhantom 的目标清单覆盖了美国、澳大利亚、德国、法国、比利时、芬兰、荷兰、意大利、西班牙和英国这十个国家的银行、金融和加密货币相关应用,数量超过 180 款。
专门针对西欧和英语国家的高价值金融应用,说明背后的团伙不但技术娴熟,而且目的很明确——就是冲着大规模欺诈来的,不是小打小闹的实验性攻击。
整个看下来,OverlayPhantom 最让人后背发凉的地方,不是它用了什么新漏洞,而是它从头到尾都踩着安卓系统的正常功能走路。投放靠社会工程骗安装,持久驻留靠改名字模仿系统组件,权限利用靠把无障碍服务从“辅助功能”玩成“远控后门”,屏幕推流靠合法的屏幕投射接口。每一步都没越狱,没内核提权,全靠用户自己点的“同意”。
所以与其骂安卓不安全,不如回头检查一下自己手机的无障碍设置里,到底都有哪些应用莫名其妙开了那个权限。毕竟这种木马,防不住技术,只能防住你自己那只点确定的手。
热门跟贴