Greenbean Banking Trooja

Küberjulgeoleku eksperdid tuvastasid Greenbeani pangatroojalasena, mis on spetsiaalselt loodud Androidi operatsioonisüsteemidesse imbumiseks. See ähvardav tarkvara, mis on teadaolevalt eksisteerinud vähemalt aastast 2023, on peamiselt suunatud finantsteabe ja muude pangandusega seotud andmete hankimisele. Eelkõige on Greenbean sihitud Vietnamis ja Hiinas asuvatele kasutajatele, mis näitab geograafilist keskendumist nendele piirkondadele.

Greenbean Banking Trooja võib ohustada tundlikku kasutajateavet

Greenbean, nagu paljud Android-seadmeid sihivad troojalased, kasutab ära Androidi juurdepääsetavuse teenuste võimalusi, mis olid algselt loodud selleks, et parandada kasutajate suhtlust konkreetsete vajadustega inimeste jaoks. Need teenused pakuvad troojale mitmesuguseid manipuleerimisfunktsioone, nagu ekraani lugemine, puuteekraani ja klaviatuuri simulatsioon, suhtlus dialoogiboksidega ja seadme lukustamine/avamine. Järelikult, kui neid teenuseid väärkasutatakse, saavad troojalased, nagu Greenbean, oma võimalusi täielikult ära kasutada.

Sissetungimisel palub Greenbean kasutajatel anda juurdepääsetavuse õigusi; nende kättesaamisel tõstab pahavara oma privileege. Seejärel käivitab trooja andmete kogumise, mis hõlmab seadme- ja võrguteavet, installitud rakenduste loendit, kontaktide loendeid, SMS-andmeid ja palju muud.

Greenbean laiendab oma funktsioone, laadides alla faile ja pilte ning eraldades lõikepuhvrist sisu. Kuigi trooja on võimeline saatma SMS-e, ei ole praeguse teabe seisuga täheldatud, et trooja teemaksupettusega tegeleks. Lisaks tutvustab Greenbean uudset funktsiooni, tehes ekraanipilte, voogesitades nakatunud seadme ekraani ja vaadates selle kaameratest.

Greenbeani peamine eesmärk on koguda ohvritelt isikut tuvastavat teavet, sisselogimismandaate ja finantsandmeid. See sihib konkreetselt selliseid rakendusi nagu Gmail, WeChat, AliPay, MyVIB, MetaMask ja Paybis. Eelkõige saab Greenbean manipuleerida väljaminevate rahaliste tehingutega, muutes vastuvõtja andmeid ja isegi algatada tehinguid ilma ohvrite sisendita.

Greenbean Banking Trooja juurutamiseks kasutatud nakkusvektorid

Greenbean tuvastati levitamisel veebisaidi antlercrypto(dot)com kaudu, mis reklaamib krüptovaluutarakendust, mis lubab suuri väljamakseid. Kasutajad, kes valivad sellel saidil allalaadimisfunktsiooni, käivitavad Amazon AWS-is hostitud domeenist faili nimega AntlerWeath.apk allalaadimise. Oluline on mõista, et selle konkreetse pahavara levitamiseks võib kasutada ka alternatiivseid domeene, failinimesid või levitamismeetodeid.

Tavaliselt levib pahavara andmepüügi ja sotsiaalse manipuleerimise tehnikate kaudu, maskeerides end sageli näiliselt tavaliste programmide või meediafailidena või koos nendega. Kõige levinumad levitamismeetodid hõlmavad võrgutaktikat, diskreetseid allalaadimisi, ebausaldusväärseid allalaadimisallikaid, nagu vabavara ja tasuta failimajutussaidid, võrdõigusvõrke ja kolmandate osapoolte rakenduste poode. Levinud levitajad on ka petturlikud manused või lingid rämpspostisõnumites (e-kirjad, DM-id/PM-id, SMS-id, sotsiaalmeedia-/foorumipostitused), pahatahtlik reklaamimine, piraattarkvara või -meedia, ebaseaduslikud programmide aktiveerimise tööriistad (üldtuntud kui "praod") ja võltsitud värskendused.

Väärib märkimist, et pahavara arendajad võivad oma loomingu levitamiseks kasutada seaduslikke allalaadimiskanaleid, nagu Google Play pood. Kuigi autentsetel platvormidel on meetmed sellise kuritarvitamise vastu võitlemiseks, mis takistab seega ohtliku sisu pikaealisust, võib isegi lühikest hostimisaega nendel platvormidel pidada pettusega seotud osalejate jaoks tulusaks.