Greenbean 银行木马

Greenbean 被网络安全专家识别为银行木马，专门用于渗透 Android 操作系统。据了解，这种威胁软件至少自 2023 年起就已存在，主要用于提取金融信息和其他银行相关数据。值得注意的是，据观察，Greenbean 的目标用户位于越南和中国，这表明其地理重点是这些地区。

Greenbean 银行木马可能会泄露敏感用户信息

与许多针对 Android 设备的木马一样，Greenbean 也利用 Android 辅助功能服务的功能，该服务最初旨在增强具有特定需求的个人的用户交互。这些服务赋予木马各种操纵功能，例如屏幕阅读、触摸屏和键盘模拟、与对话框交互以及设备锁定/解锁。因此，当这些服务被滥用时，像 Greenbean 这样的木马就可以充分利用它们的功能。

渗透后，Greenbean 会提示用户授予 Accessibility 权限；收到它们后，恶意软件就会提升其权限。随后，该木马启动数据收集，包括设备和网络信息、已安装应用程序列表、联系人列表、短信数据等。

Greenbean 通过下载文件和图像以及从剪贴板提取内容来扩展其功能。虽然能够发送短信，但截至目前的信息尚未发现该木马参与长途电话欺诈。此外，Greenbean 还引入了一项新颖的功能，即截取屏幕截图、流式传输受感染设备的屏幕以及从其摄像头进行查看。

Greenbean 的主要目标是从受害者那里获取个人身份信息、登录凭据和财务数据。它专门针对 Gmail、微信、支付宝、MyVIB、MetaMask 和 Paybis 等应用程序。值得注意的是，Greenbean 可以通过更改接收者详细信息来操纵传出的货币交易，甚至可以在没有受害者输入的情况下发起交易。

用于部署 Greenbean 银行木马的感染媒介

Greenbean 已被确定通过 Antlercrypto(dot)com 网站进行分发，该网站推广一种加密货币应用程序，并承诺带来丰厚的回报。选择此站点上的下载功能的用户会触发从 Amazon AWS 托管的域下载名为“AntlerWeath.apk”的文件。重要的是要认识到，替代域名、文件名或传播方法也可能被用来扩散这种特定的恶意软件。

通常，恶意软件通过网络钓鱼和社会工程技术传播，通常伪装成或与看似普通的程序或媒体文件捆绑在一起。最流行的分发方法包括在线策略、谨慎的偷渡式下载、不可信的下载源（例如免费软件和免费文件托管网站）、点对点共享网络和第三方应用商店。垃圾邮件（电子邮件、私信/私信、短信、社交媒体/论坛帖子）中的欺诈附件或链接、恶意广告、盗版软件或媒体、非法程序激活工具（通常称为“破解”）和虚假更新也是常见的媒介。

值得注意的是，恶意软件开发者可能会利用 Google Play 商店等合法下载渠道来传播他们的作品。虽然真实的平台已采取措施来抵制此类滥用行为，从而阻碍不安全内容的长期存在，但即使在这些平台上短暂的托管时间也可以被认为对于欺诈相关行为者来说是有利可图的。