Greenbean Banking Trojan

Greenbean е идентифициран като банков троянски кон от експерти по киберсигурност, специално създаден за проникване в операционни системи Android. Този заплашителен софтуер, за който се знае, че съществува поне от 2023 г., е насочен основно към извличане на финансова информация и други данни, свързани с банкирането. За отбелязване е, че Greenbean е насочен към потребители, намиращи се във Виетнам и Китай, което показва географски фокус върху тези региони.

Троянският кон на Greenbean Banking може да компрометира чувствителна потребителска информация

Greenbean, подобно на много троянски коне, насочени към устройства с Android, използва възможностите на услугите за достъпност на Android, които първоначално са предназначени да подобрят взаимодействието с потребителите за хора със специфични нужди. Тези услуги предоставят на троянския кон различни манипулативни функции, като четене на екрана, симулация на сензорен екран и клавиатура, взаимодействие с диалогови прозорци и заключване/отключване на устройства. Следователно, когато тези услуги се използват неправилно, троянски коне като Greenbean могат напълно да използват своите възможности.

При проникване Greenbean подканва потребителите да предоставят разрешения за достъпност; при получаването им зловредният софтуер повишава привилегиите си. Впоследствие троянът инициира събиране на данни, включващи информация за устройството и мрежата, списък с инсталирани приложения, списъци с контакти, SMS данни и др.

Greenbean разширява своите функционалности чрез изтегляне на файлове и изображения и извличане на съдържание от клипборда. Въпреки че може да изпраща SMS, според текущата информация троянският кон не е наблюдаван да участва в Toll Fraud. Освен това Greenbean въвежда нова функция чрез правене на екранни снимки, поточно предаване на екрана на заразеното устройство и гледане от неговите камери.

Основната цел на Greenbean е да събира лична информация, идентификационни данни за вход и финансови данни от своите жертви. Той специално е насочен към приложения като Gmail, WeChat, AliPay, MyVIB, MetaMask и Paybis. По-специално, Greenbean може да манипулира изходящите парични транзакции, като променя данните на получателя и дори може да инициира транзакции без участието на жертвите.

Вектори на инфекция, използвани за внедряване на троянския кон Greenbean Banking

Greenbean е идентифициран в разпространение чрез уебсайт, antlercrypto(dot)com, който популяризира приложение за криптовалута, обещаващо значителни изплащания. Потребителите, които изберат функцията за изтегляне на този сайт, задействат изтеглянето на файл с име „AntlerWeath.apk“ от домейн, хостван на Amazon AWS. Важно е да се признае, че алтернативни домейни, имена на файлове или методи за разпространение също могат да бъдат използвани за разпространението на този конкретен зловреден софтуер.

Обикновено злонамереният софтуер се разпространява чрез техники за фишинг и социално инженерство, често маскирани като или свързани с привидно обикновени програми или медийни файлове. Най-разпространените методи за разпространение включват онлайн тактики, дискретни изтегляния, ненадеждни източници на изтегляне, като безплатни и безплатни сайтове за хостване на файлове, мрежи за споделяне Peer-to-Peer и магазини за приложения на трети страни. Измамни прикачени файлове или връзки в спам съобщения (имейли, DM/PMs, SMS-и, публикации в социални медии/форуми), злонамерена реклама, пиратски софтуер или медии, незаконни инструменти за активиране на програми (известни като „кракове“) и фалшиви актуализации също са често срещани вектори.

Струва си да се отбележи, че разработчиците на злонамерен софтуер могат да използват законни канали за изтегляне като Google Play Store, за да разпространяват своите творения. Въпреки че автентичните платформи разполагат с мерки за противодействие на такава злоупотреба, като по този начин възпрепятстват дълготрайността на опасното съдържание, дори краткото време за хостване на тези платформи може да се счита за доходоносно за участниците, свързани с измами.