Bankovní trojan Greenbean

Greenbean je experty na kybernetickou bezpečnost identifikován jako bankovní trojan, speciálně vytvořený k infiltraci do operačních systémů Android. Tento hrozivý software, o kterém je známo, že existuje minimálně od roku 2023, je primárně zaměřen na získávání finančních informací a dalších bankovních údajů. Zejména bylo pozorováno, že Greenbean cílí na uživatele ve Vietnamu a Číně, což naznačuje geografické zaměření na tyto regiony.

Trojan Greenbean Banking by mohl ohrozit citlivé uživatelské informace

Greenbean, stejně jako mnoho trojských koní zaměřujících se na zařízení Android, využívá možnosti služeb Android Accessibility Services, které byly původně navrženy pro zlepšení uživatelské interakce pro jednotlivce se specifickými potřebami. Tyto služby poskytují trojanovi různé manipulační funkce, jako je čtení obrazovky, simulace dotykové obrazovky a klávesnice, interakce s dialogovými okny a zamykání/odemykání zařízení. V důsledku toho, když jsou tyto služby zneužity, trojské koně jako Greenbean mohou plně využít jejich schopnosti.

Při infiltraci Greenbean vyzve uživatele, aby udělili oprávnění k usnadnění; po jejich obdržení malware povýší svá privilegia. Následně trojský kůň iniciuje sběr dat, zahrnujících informace o zařízení a síti, seznam nainstalovaných aplikací, seznamy kontaktů, SMS data a další.

Greenbean rozšiřuje své funkce stahováním souborů a obrázků a extrahováním obsahu ze schránky. I když je trojan schopen odesílat SMS, nebyl podle aktuálních informací pozorován při zapojení do mýtného podvodu. Kromě toho Greenbean zavádí novou funkci pořizováním snímků obrazovky, streamováním obrazovky infikovaného zařízení a sledováním z kamer.

Primárním cílem Greenbean je sklízet osobně identifikovatelné informace, přihlašovací údaje a finanční údaje od svých obětí. Konkrétně cílí na aplikace jako Gmail, WeChat, AliPay, MyVIB, MetaMask a Paybis. Je pozoruhodné, že Greenbean může manipulovat s odchozími peněžními transakcemi změnou údajů o příjemci a může dokonce zahájit transakce bez vstupu obětí.

Infekční vektory používané k nasazení trojského koně Greenbean Banking

Greenbean byl identifikován v distribuci prostřednictvím webové stránky antlercrypto(dot)com, která propaguje aplikaci pro kryptoměny slibující značné výplaty. Uživatelé, kteří se rozhodnou pro funkci stahování na tomto webu, spustí stahování souboru s názvem „AntlerWeath.apk“ z domény hostované na Amazon AWS. Je důležité si uvědomit, že k šíření tohoto konkrétního malwaru mohou být také použity alternativní domény, názvy souborů nebo metody šíření.

Malware se obvykle šíří prostřednictvím phishingu a technik sociálního inženýrství, které se často vydávají za zdánlivě běžné programy nebo mediální soubory nebo se s nimi spojují. Nejrozšířenější distribuční metody zahrnují online taktiky, diskrétní stahování, nedůvěryhodné zdroje stahování, jako jsou freeware a bezplatné servery pro hostování souborů, sítě pro sdílení Peer-to-Peer a obchody s aplikacemi třetích stran. Častými vektory jsou také podvodné přílohy nebo odkazy ve spamových zprávách (e-maily, DM/PM, SMS, příspěvky na sociálních sítích/fórech), malwarová reklama, pirátský software nebo média, nelegální nástroje pro aktivaci programů (běžně známé jako „cracky“) a falešné aktualizace.

Stojí za zmínku, že vývojáři malwaru mohou využívat legitimní kanály pro stahování, jako je Obchod Google Play, k šíření svých výtvorů. Zatímco autentické platformy mají zavedena opatření proti takovému zneužívání, a tím brání dlouhé životnosti nebezpečného obsahu, dokonce i krátká doba hostování na těchto platformách může být považována za lukrativní pro aktéry související s podvody.