حصان طروادة المصرفي Greenbean

تم تعريف Greenbean على أنه حصان طروادة مصرفي من قبل خبراء الأمن السيبراني، وهو مصمم خصيصًا لاختراق أنظمة تشغيل Android. إن برنامج التهديد هذا، المعروف بوجوده منذ عام 2023 على الأقل، موجه في المقام الأول نحو استخراج المعلومات المالية والبيانات الأخرى المتعلقة بالمصرفية. والجدير بالذكر أن Greenbean قد لوحظ أنه يستهدف المستخدمين الموجودين في فيتنام والصين، مما يشير إلى التركيز الجغرافي على هذه المناطق.

قد يؤدي حصان طروادة Greenbean Banking إلى اختراق معلومات المستخدم الحساسة

يستغل Greenbean، مثل العديد من أحصنة طروادة التي تستهدف أجهزة Android، إمكانات خدمات إمكانية الوصول إلى Android، والتي تم تصميمها في البداية لتعزيز تفاعل المستخدم مع الأفراد ذوي الاحتياجات الخاصة. تمنح هذه الخدمات حصان طروادة العديد من وظائف التلاعب، مثل قراءة الشاشة، ومحاكاة شاشة اللمس ولوحة المفاتيح، والتفاعل مع مربعات الحوار، وقفل/فتح قفل الجهاز. وبالتالي، عند إساءة استخدام هذه الخدمات، يمكن لأحصنة طروادة مثل Greenbean الاستفادة الكاملة من قدراتها.

عند التسلل، يطالب Greenbean المستخدمين بمنح أذونات الوصول؛ عند تلقيها، ترفع البرامج الضارة امتيازاتها. بعد ذلك، يبدأ حصان طروادة بجمع البيانات، بما في ذلك معلومات الجهاز والشبكة، وقائمة التطبيقات المثبتة، وقوائم جهات الاتصال، وبيانات الرسائل القصيرة والمزيد.

يقوم Greenbean بتوسيع وظائفه عن طريق تنزيل الملفات والصور واستخراج المحتوى من الحافظة. على الرغم من أنه قادر على إرسال رسائل نصية قصيرة، إلا أنه لم تتم ملاحظة تورط حصان طروادة في عمليات احتيال تحصيل الرسوم وفقًا للمعلومات الحالية. علاوة على ذلك، يقدم Greenbean ميزة جديدة من خلال التقاط لقطات الشاشة، وبث شاشة الجهاز المصاب، والمشاهدة من كاميراته.

الهدف الأساسي لـ Greenbean هو جمع معلومات التعريف الشخصية وبيانات اعتماد تسجيل الدخول والبيانات المالية من ضحاياها. وهو يستهدف على وجه التحديد تطبيقات مثل Gmail وWeChat وAliPay وMyVIB وMetaMask وPaybis. والجدير بالذكر أن Greenbean يمكنه التلاعب بالمعاملات النقدية الصادرة عن طريق تغيير تفاصيل المستلم وقد يبدأ المعاملات دون مدخلات الضحايا.

ناقلات العدوى المستخدمة لنشر حصان طروادة Greenbean Banking

تم التعرف على Greenbean في التوزيع من خلال موقع ويب، antlercrypto(dot)com، الذي يروج لتطبيق عملة مشفرة يعد بدفعات كبيرة. يقوم المستخدمون الذين يختارون ميزة التنزيل على هذا الموقع بتشغيل تنزيل ملف يسمى "AntlerWeath.apk" من مجال مستضاف على Amazon AWS. من المهم أن ندرك أنه يمكن أيضًا استخدام النطاقات أو أسماء الملفات أو طرق النشر البديلة لنشر هذه البرامج الضارة تحديدًا.

عادةً، تنتشر البرامج الضارة من خلال تقنيات التصيد الاحتيالي والهندسة الاجتماعية، وغالبًا ما تتنكر في هيئة برامج أو ملفات وسائط تبدو عادية أو مجمعة معها. تشمل طرق التوزيع الأكثر شيوعًا التكتيكات عبر الإنترنت، والتنزيلات السرية، ومصادر التنزيل غير الجديرة بالثقة مثل البرامج المجانية ومواقع استضافة الملفات المجانية، وشبكات المشاركة من نظير إلى نظير، ومتاجر تطبيقات الطرف الثالث. تعد المرفقات أو الروابط الاحتيالية في رسائل البريد العشوائي (رسائل البريد الإلكتروني، والرسائل المباشرة/الرسائل المباشرة، والرسائل النصية القصيرة، ووسائل التواصل الاجتماعي/مشاركات المنتديات)، والإعلانات الضارة، والبرامج أو الوسائط المقرصنة، وأدوات تنشيط البرامج غير القانونية (المعروفة باسم "الكسور") والتحديثات المزيفة أيضًا من المتجهات الشائعة.

تجدر الإشارة إلى أن مطوري البرامج الضارة قد يستغلون قنوات التنزيل المشروعة مثل متجر Google Play لنشر إبداعاتهم. في حين أن المنصات الأصلية لديها تدابير معمول بها لمواجهة مثل هذا الانتهاك، وبالتالي إعاقة طول عمر المحتوى غير الآمن، فإن حتى وقت الاستضافة القصير على هذه المنصات يمكن اعتباره مربحًا للجهات الفاعلة المرتبطة بالاحتيال.