Greenbean Banking Trojan

Ο Greenbean αναγνωρίζεται ως τραπεζικός Trojan από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο, ειδικά σχεδιασμένος για να διεισδύει σε λειτουργικά συστήματα Android. Αυτό το απειλητικό λογισμικό, που είναι γνωστό ότι υπάρχει τουλάχιστον από το 2023, είναι προσανατολισμένο κυρίως στην εξαγωγή οικονομικών πληροφοριών και άλλων τραπεζικών δεδομένων. Συγκεκριμένα, έχει παρατηρηθεί ότι το Greenbean στοχεύει χρήστες που βρίσκονται στο Βιετνάμ και την Κίνα, υποδεικνύοντας μια γεωγραφική εστίαση σε αυτές τις περιοχές.

Το Greenbean Banking Trojan θα μπορούσε να θέσει σε κίνδυνο ευαίσθητες πληροφορίες χρήστη

Το Greenbean, όπως πολλοί Trojans που στοχεύουν συσκευές Android, εκμεταλλεύεται τις δυνατότητες των Υπηρεσιών Προσβασιμότητας Android, οι οποίες αρχικά σχεδιάστηκαν για να βελτιώσουν την αλληλεπίδραση με τους χρήστες για άτομα με συγκεκριμένες ανάγκες. Αυτές οι υπηρεσίες παρέχουν στον trojan διάφορες λειτουργίες χειρισμού, όπως ανάγνωση οθόνης, προσομοίωση οθόνης αφής και πληκτρολογίου, αλληλεπίδραση με πλαίσια διαλόγου και κλείδωμα/ξεκλείδωμα συσκευής. Κατά συνέπεια, όταν αυτές οι υπηρεσίες χρησιμοποιούνται κατά λάθος, Trojans όπως το Greenbean μπορούν να αξιοποιήσουν πλήρως τις δυνατότητές τους.

Μετά τη διείσδυση, η Greenbean προτρέπει τους χρήστες να εκχωρήσουν δικαιώματα Προσβασιμότητας. κατά τη λήψη τους, το κακόβουλο λογισμικό αυξάνει τα προνόμιά του. Στη συνέχεια, ο trojan ξεκινά τη συλλογή δεδομένων, περιλαμβάνοντας πληροφορίες συσκευής και δικτύου, τη λίστα των εγκατεστημένων εφαρμογών, τις λίστες επαφών, τα δεδομένα SMS και άλλα.

Το Greenbean επεκτείνει τις λειτουργίες του κατεβάζοντας αρχεία και εικόνες και εξάγοντας περιεχόμενο από το πρόχειρο. Ενώ μπορεί να στείλει SMS, ο trojan δεν έχει παρατηρηθεί να εμπλέκεται σε απάτη διοδίων από τις τρέχουσες πληροφορίες. Επιπλέον, η Greenbean εισάγει μια νέα δυνατότητα τραβώντας στιγμιότυπα οθόνης, streaming της οθόνης της μολυσμένης συσκευής και προβολή από τις κάμερές της.

Ο πρωταρχικός στόχος του Greenbean είναι να συλλέγει προσωπικά αναγνωρίσιμες πληροφορίες, διαπιστευτήρια σύνδεσης και οικονομικά δεδομένα από τα θύματά του. Στοχεύει συγκεκριμένα εφαρμογές όπως το Gmail, το WeChat, το AliPay, το MyVIB, το MetaMask και το Paybis. Συγκεκριμένα, η Greenbean μπορεί να χειριστεί τις εξερχόμενες νομισματικές συναλλαγές αλλάζοντας τα στοιχεία του παραλήπτη και μπορεί ακόμη και να ξεκινήσει συναλλαγές χωρίς τη συμβολή των θυμάτων.

Φορείς μόλυνσης που χρησιμοποιούνται για την ανάπτυξη του Τρωικού Τραπεζικού Τραπεζικού Greenbean

Το Greenbean έχει εντοπιστεί στη διανομή μέσω ενός ιστότοπου, του antlercrypto(dot)com, ο οποίος προωθεί μια εφαρμογή κρυπτονομισμάτων που υπόσχεται σημαντικές πληρωμές. Οι χρήστες που επιλέγουν τη δυνατότητα λήψης σε αυτόν τον ιστότοπο ενεργοποιούν τη λήψη ενός αρχείου με το όνομα "AntlerWeath.apk" από έναν τομέα που φιλοξενείται στο Amazon AWS. Είναι σημαντικό να αναγνωρίσουμε ότι εναλλακτικοί τομείς, ονόματα αρχείων ή μέθοδοι διάδοσης μπορεί επίσης να χρησιμοποιηθούν για τον πολλαπλασιασμό αυτού του συγκεκριμένου κακόβουλου λογισμικού.

Συνήθως, το κακόβουλο λογισμικό εξαπλώνεται μέσω phishing και τεχνικών κοινωνικής μηχανικής, συχνά μεταμφιεσμένο ή συνδυασμένο με φαινομενικά συνηθισμένα προγράμματα ή αρχεία πολυμέσων. Οι πιο διαδεδομένες μέθοδοι διανομής περιλαμβάνουν διαδικτυακές τακτικές, διακριτικές λήψεις μέσω οδηγού, αναξιόπιστες πηγές λήψης, όπως δωρεάν λογισμικό και δωρεάν ιστότοπους φιλοξενίας αρχείων, δίκτυα κοινής χρήσης Peer-to-Peer και καταστήματα εφαρμογών τρίτων. Δόλια συνημμένα ή σύνδεσμοι σε μηνύματα ανεπιθύμητης αλληλογραφίας (email, DM/PM, SMS, αναρτήσεις μέσων κοινωνικής δικτύωσης/φόρουμ), κακόβουλη διαφήμιση, πειρατικό λογισμικό ή μέσα ενημέρωσης, παράνομα εργαλεία ενεργοποίησης προγραμμάτων (κοινώς γνωστά ως «σπασίματα») και ψεύτικες ενημερώσεις είναι επίσης συνήθεις φορείς.

Αξίζει να σημειωθεί ότι οι προγραμματιστές κακόβουλου λογισμικού ενδέχεται να εκμεταλλευτούν νόμιμα κανάλια λήψης όπως το Google Play Store για να διαδώσουν τις δημιουργίες τους. Ενώ οι αυθεντικές πλατφόρμες διαθέτουν μέτρα για την εξουδετέρωση αυτής της κατάχρησης, εμποδίζοντας έτσι τη μακροζωία του μη ασφαλούς περιεχομένου, ακόμη και ο σύντομος χρόνος φιλοξενίας σε αυτές τις πλατφόρμες μπορεί να θεωρηθεί επικερδής για τους φορείς που σχετίζονται με απάτη.