Greenbean Banking Trojan

Greenbean er identificeret som en banktrojaner af cybersikkerhedseksperter, specielt designet til at infiltrere Android-operativsystemer. Denne truende software, der vides at have eksisteret siden mindst 2023, er primært rettet mod at udtrække finansiel information og andre bankrelaterede data. Især er Greenbean blevet observeret målrettet mod brugere i Vietnam og Kina, hvilket indikerer et geografisk fokus på disse regioner.

Greenbean Banking Trojan kunne kompromittere følsomme brugeroplysninger

Greenbean, som mange trojanske heste, der målretter mod Android-enheder, udnytter funktionerne i Android Accessibility Services, som oprindeligt blev designet til at forbedre brugerinteraktionen for personer med specifikke behov. Disse tjenester giver trojaneren forskellige manipulerende funktioner, såsom skærmlæsning, berøringsskærm og tastatursimulering, interaktion med dialogbokse og enhedslåsning/oplåsning. Når disse tjenester misbruges, kan trojanske heste som Greenbean følgelig fuldt ud udnytte deres muligheder.

Ved infiltration beder Greenbean brugere om at give tilgængelighedstilladelser; ved modtagelse af dem, hæver malwaren sine privilegier. Efterfølgende starter trojaneren dataindsamling, omfattende enheds- og netværksoplysninger, listen over installerede applikationer, kontaktlister, SMS-data og mere.

Greenbean udvider sine funktionaliteter ved at downloade filer og billeder og udtrække indhold fra udklipsholderen. Selvom trojaneren er i stand til at sende SMS, er den ikke blevet observeret involvere sig i betalingssvindel med de aktuelle oplysninger. Desuden introducerer Greenbean en ny funktion ved at tage skærmbilleder, streame den inficerede enheds skærm og se fra dens kameraer.

Det primære formål med Greenbean er at høste personligt identificerbare oplysninger, loginoplysninger og økonomiske data fra dets ofre. Den er specifikt rettet mod applikationer som Gmail, WeChat, AliPay, MyVIB, MetaMask og Paybis. Især Greenbean kan manipulere udgående pengetransaktioner ved at ændre modtagerdetaljer og kan endda indlede transaktioner uden ofrenes input.

Infektionsvektorer, der bruges til at implementere Greenbean Banking Trojan

Greenbean er blevet identificeret i distribution gennem et websted, antlercrypto(dot)com, som promoverer en kryptovalutaapplikation, der lover betydelige udbetalinger. Brugere, der vælger downloadfunktionen på dette websted, udløser download af en fil med navnet 'AntlerWeath.apk' fra et domæne, der hostes på Amazon AWS. Det er vigtigt at erkende, at alternative domæner, filnavne eller formidlingsmetoder også kan bruges til at sprede denne særlige malware.

Typisk spredes malware gennem phishing og social engineering-teknikker, ofte maskeret som eller bundtet med tilsyneladende almindelige programmer eller mediefiler. De mest udbredte distributionsmetoder omfatter online-taktikker, diskret drive-by-downloads, upålidelige downloadkilder såsom freeware og gratis fil-hosting-websteder, Peer-to-Peer-delingsnetværk og tredjeparts app-butikker. Svigagtige vedhæftede filer eller links i spam-beskeder (e-mails, DM'er/PM'er, SMS'er, sociale medier/forumindlæg), malvertising, piratkopieret software eller medier, ulovlige programaktiveringsværktøjer (almindeligvis kendt som 'cracks') og falske opdateringer er også almindelige vektorer.

Det er værd at bemærke, at malware-udviklere kan udnytte legitime downloadkanaler som Google Play Butik til at formidle deres kreationer. Mens autentiske platforme har foranstaltninger på plads til at modvirke sådant misbrug, og derved hæmmer varigheden af usikkert indhold, kan selv den korte hostingtid på disse platforme betragtes som lukrativ for svindel-relaterede aktører.