تروجان بانکی گرینبین

Greenbean توسط کارشناسان امنیت سایبری به عنوان یک تروجان بانکی شناخته شده است که به طور خاص برای نفوذ به سیستم عامل های اندروید ساخته شده است. این نرم افزار تهدیدآمیز که حداقل از سال 2023 وجود داشته است، عمدتاً برای استخراج اطلاعات مالی و سایر داده های مرتبط با بانک ها طراحی شده است. قابل توجه، مشاهده شده است که Greenbean کاربران واقع در ویتنام و چین را هدف قرار می دهد که نشان دهنده تمرکز جغرافیایی بر این مناطق است.

تروجان بانکی Greenbean می تواند اطلاعات حساس کاربر را به خطر بیندازد

Greenbean، مانند بسیاری از تروجان‌هایی که دستگاه‌های اندرویدی را هدف قرار می‌دهند، از قابلیت‌های سرویس‌های دسترس‌پذیری اندروید، که در ابتدا برای تقویت تعامل کاربر برای افراد با نیازهای خاص طراحی شده بودند، بهره‌برداری می‌کند. این خدمات به تروجان عملکردهای دستکاری مختلفی مانند خواندن صفحه نمایش، شبیه سازی صفحه لمسی و صفحه کلید، تعامل با جعبه های گفتگو و قفل/باز کردن قفل دستگاه را می دهد. در نتیجه، هنگامی که از این سرویس ها سوء استفاده می شود، تروجان هایی مانند Greenbean می توانند به طور کامل از قابلیت های خود استفاده کنند.

پس از نفوذ، Greenbean از کاربران می خواهد که مجوزهای Accessibility را اعطا کنند. بدافزار با دریافت آنها، امتیازات خود را افزایش می دهد. متعاقباً، تروجان جمع آوری داده ها را آغاز می کند، اطلاعات دستگاه و شبکه، لیست برنامه های نصب شده، لیست مخاطبین، داده های SMS و موارد دیگر را در بر می گیرد.

Greenbean قابلیت های خود را با دانلود فایل ها و تصاویر و استخراج محتوا از کلیپ بورد گسترش می دهد. در حالی که این تروجان قادر به ارسال پیامک است، تا آنجا که اطلاعات فعلی درگیر در تقلب عوارض است، مشاهده نشده است. علاوه بر این، Greenbean یک ویژگی جدید را با گرفتن اسکرین شات، پخش جریانی صفحه نمایش دستگاه آلوده و مشاهده از دوربین آن معرفی می کند.

هدف اصلی Greenbean جمع آوری اطلاعات شناسایی شخصی، اعتبار ورود به سیستم و داده های مالی از قربانیان آن است. این برنامه به طور خاص برنامه هایی مانند Gmail، WeChat، AliPay، MyVIB، MetaMask و Paybis را هدف قرار می دهد. قابل توجه است که Greenbean می‌تواند تراکنش‌های پولی خروجی را با تغییر جزئیات گیرنده دستکاری کند و حتی ممکن است معاملات را بدون ورودی قربانیان آغاز کند.

بردارهای عفونت استفاده شده برای استقرار تروجان بانکی Greenbean

Greenbean در توزیع از طریق وب سایتی به نام antlercrypto(dot)com شناسایی شده است که یک برنامه ارز دیجیتال را تبلیغ می کند که نویدبخش پرداخت های قابل توجهی است. کاربرانی که ویژگی دانلود را در این سایت انتخاب می کنند، دانلود فایلی به نام «AntlerWeath.apk» را از دامنه میزبانی شده در Amazon AWS آغاز می کنند. مهم است که بدانیم دامنه‌ها، نام فایل‌ها یا روش‌های انتشار جایگزین نیز ممکن است برای تکثیر این بدافزار خاص مورد استفاده قرار گیرند.

به طور معمول، بدافزار از طریق تکنیک‌های فیشینگ و مهندسی اجتماعی منتشر می‌شود، که اغلب به صورت برنامه‌ها یا فایل‌های رسانه‌ای ظاهراً معمولی مخفی می‌شوند یا با آن‌ها همراه می‌شوند. رایج‌ترین روش‌های توزیع شامل تاکتیک‌های آنلاین، بارگیری‌های محتاطانه، منابع دانلود غیرقابل اعتماد مانند سایت‌های رایگان و میزبان فایل رایگان، شبکه‌های اشتراک‌گذاری Peer-to-Peer و فروشگاه‌های برنامه شخص ثالث است. پیوست‌ها یا لینک‌های جعلی در پیام‌های هرزنامه (ایمیل‌ها، پیام‌های ارسال پیام/پی‌ام، پیامک، رسانه‌های اجتماعی/پست‌های انجمن)، تبلیغات نادرست، نرم‌افزار یا رسانه‌های غیرقانونی، ابزارهای فعال‌سازی غیرقانونی برنامه (که معمولاً به عنوان کرک شناخته می‌شوند) و به‌روزرسانی‌های جعلی نیز از عوامل رایج هستند.

شایان ذکر است که توسعه دهندگان بدافزار ممکن است از کانال های دانلود قانونی مانند فروشگاه Google Play برای انتشار آثار خود سوء استفاده کنند. در حالی که پلتفرم‌های معتبر تدابیری برای مقابله با چنین سوءاستفاده‌هایی در نظر گرفته‌اند و در نتیجه مانع از ماندگاری محتوای ناامن می‌شوند، حتی زمان کوتاه میزبانی در این پلت‌فرم‌ها می‌تواند برای بازیگران مرتبط با کلاهبرداری سودآور در نظر گرفته شود.