Troià Greenbean Banking

Greenbean és identificat com un troià bancari per experts en ciberseguretat, dissenyat específicament per infiltrar-se en els sistemes operatius Android. Aquest programari amenaçador, conegut per existir almenys des del 2023, està orientat principalment a extreure informació financera i altres dades relacionades amb la banca. En particular, s'ha observat que Greenbean s'orienta a usuaris situats al Vietnam i la Xina, cosa que indica un enfocament geogràfic en aquestes regions.

El troià Greenbean Banking podria comprometre la informació sensible de l'usuari

Greenbean, com molts troians dirigits a dispositius Android, explota les capacitats dels serveis d'accessibilitat d'Android, que inicialment es van dissenyar per millorar la interacció de l'usuari per a persones amb necessitats específiques. Aquests serveis atorguen al troià diverses funcions de manipulació, com ara lectura de pantalla, simulació de pantalla tàctil i teclat, interacció amb quadres de diàleg i bloqueig/desbloqueig del dispositiu. En conseqüència, quan aquests serveis s'utilitzen malament, troians com Greenbean poden aprofitar plenament les seves capacitats.

Quan s'infiltra, Greenbean demana als usuaris que concedeixin permisos d'accessibilitat; en rebre'ls, el programari maliciós augmenta els seus privilegis. Posteriorment, el troià inicia la recollida de dades, que inclou informació del dispositiu i de la xarxa, la llista d'aplicacions instal·lades, llistes de contactes, dades d'SMS i molt més.

Greenbean amplia les seves funcionalitats baixant fitxers i imatges i extreint contingut del porta-retalls. Tot i que és capaç d'enviar SMS, no s'ha observat que el troià participi en el frau de peatge a la informació actual. A més, Greenbean introdueix una nova funció fent captures de pantalla, reproduint la pantalla del dispositiu infectat i visualitzant des de les seves càmeres.

L'objectiu principal de Greenbean és recollir informació d'identificació personal, credencials d'inici de sessió i dades financeres de les seves víctimes. S'adreça específicament a aplicacions com Gmail, WeChat, AliPay, MyVIB, MetaMask i Paybis. En particular, Greenbean pot manipular transaccions monetàries sortints alterant els detalls del receptor i fins i tot pot iniciar transaccions sense l'entrada de les víctimes.

Vectors d'infecció utilitzats per desplegar el troià Greenbean Banking

Greenbean s'ha identificat en la distribució a través d'un lloc web, antlercrypto(dot)com, que promou una aplicació de criptomoneda que promet pagaments substancials. Els usuaris que opten per la funció de descàrrega d'aquest lloc desencadenen la descàrrega d'un fitxer anomenat "AntlerWeath.apk" des d'un domini allotjat a Amazon AWS. És important reconèixer que també es poden utilitzar dominis, noms de fitxers o mètodes de difusió alternatius per proliferar aquest programari maliciós en particular.

Normalment, el programari maliciós s'estén a través de tècniques de pesca i enginyeria social, sovint dissimulant-se o agrupant-se amb programes o fitxers multimèdia aparentment normals. Els mètodes de distribució més freqüents inclouen tàctiques en línia, descàrregues discretes en cotxe, fonts de descàrrega poc fiables com ara llocs de programari gratuït i d'allotjament de fitxers gratuïts, xarxes d'intercanvi d'igual a igual i botigues d'aplicacions de tercers. Els fitxers adjunts o enllaços fraudulents als missatges de correu brossa (correus electrònics, missatges de correu electrònic, missatges de text o missatges publicitaris, SMS, publicacions en xarxes socials o fòrums), publicitat maliciosa, programari o mitjans piratejats, eines d'activació de programes il·legals (conegudes habitualment com a "cracks") i actualitzacions falses també són vectors habituals.

Val la pena assenyalar que els desenvolupadors de programari maliciós poden explotar canals de descàrrega legítims com Google Play Store per difondre les seves creacions. Tot i que les plataformes autèntiques disposen de mesures per contrarestar aquest abús, impedint així la longevitat del contingut insegur, fins i tot el breu temps d'allotjament en aquestes plataformes es pot considerar lucratiu per als actors relacionats amb el frau.