Greenbean Banking Troijalainen

Kyberturvallisuusasiantuntijat ovat tunnistaneet Greenbeanin pankkitroijalaiseksi, joka on erityisesti suunniteltu tunkeutumaan Android-käyttöjärjestelmiin. Tämä uhkaava ohjelmisto, jonka tiedetään olleen olemassa ainakin vuodesta 2023 lähtien, on ensisijaisesti suunnattu taloustietojen ja muiden pankkiin liittyvien tietojen poimimiseen. Greenbeanin on havaittu kohdistuvan Vietnamissa ja Kiinassa sijaitseviin käyttäjiin, mikä osoittaa maantieteellisen keskittymisen näille alueille.

Greenbean Banking -troijalainen voi vaarantaa arkaluonteiset käyttäjätiedot

Greenbean, kuten monet Android-laitteisiin kohdistavat troijalaiset, hyödyntää Android Accessibility Services -palveluiden ominaisuuksia, jotka alun perin suunniteltiin parantamaan käyttäjien vuorovaikutusta henkilöille, joilla on erityistarpeita. Nämä palvelut antavat troijalaiselle erilaisia manipulointitoimintoja, kuten näytön lukemisen, kosketusnäytön ja näppäimistön simuloinnin, vuorovaikutuksen valintaikkunoiden kanssa ja laitteen lukitsemisen/lukituksen avaamisen. Näin ollen, kun näitä palveluita käytetään väärin, Greenbeanin kaltaiset troijalaiset voivat hyödyntää kykyjään täysin.

Tunkeutuessaan Greenbean kehottaa käyttäjiä myöntämään esteettömyysoikeudet. saatuaan ne haittaohjelma lisää oikeuksiaan. Tämän jälkeen troijalainen käynnistää tiedonkeruun, joka kattaa laite- ja verkkotiedot, asennettujen sovellusten luettelon, yhteystietoluettelot, tekstiviestitiedot ja paljon muuta.

Greenbean laajentaa toimintojaan lataamalla tiedostoja ja kuvia sekä poimimalla sisältöä leikepöydältä. Vaikka troijalainen pystyy lähettämään tekstiviestejä, sen ei ole tämänhetkisten tietojen mukaan havaittu osallistuvan maksupetokseen. Lisäksi Greenbean esittelee uuden ominaisuuden ottamalla kuvakaappauksia, suoratoistamalla tartunnan saaneen laitteen näyttöä ja katselemalla sen kameroista.

Greenbeanin ensisijaisena tavoitteena on kerätä henkilökohtaisia tunnistetietoja, kirjautumistietoja ja taloudellisia tietoja uhreilta. Se on kohdistettu erityisesti sovelluksiin, kuten Gmail, WeChat, AliPay, MyVIB, MetaMask ja Paybis. Erityisesti Greenbean voi manipuloida lähteviä rahatapahtumia muuttamalla vastaanottajan tietoja ja jopa aloittaa liiketoimia ilman uhrien panosta.

Infektiovektorit, joita käytetään Greenbean Banking -troijalaisen käyttöönotossa

Greenbean on tunnistettu jakelussa antlercrypto(dot)com-sivuston kautta, joka mainostaa kryptovaluuttasovellusta, joka lupaa merkittäviä voittoja. Käyttäjät, jotka valitsevat tämän sivuston latausominaisuuden, käynnistävät tiedoston nimeltä AntlerWeath.apk latauksen Amazon AWS:n isännöidyltä verkkotunnukselta. On tärkeää huomata, että myös vaihtoehtoisia verkkotunnuksia, tiedostonimiä tai levitysmenetelmiä voidaan käyttää tämän tietyn haittaohjelman leviämiseen.

Tyypillisesti haittaohjelmat leviävät tietojenkalastelu- ja sosiaalisten manipulointitekniikoiden kautta, usein naamioituen tai niputettuina näennäisesti tavallisiksi ohjelmiksi tai mediatiedostoiksi. Yleisimpiä jakelumenetelmiä ovat verkkotaktiikat, huomaamattomat lataukset, epäluotettavat latauslähteet, kuten ilmaisohjelmat ja ilmaiset tiedostojen isännöintisivustot, vertaisjakoverkot ja kolmannen osapuolen sovelluskaupat. Vilpilliset liitteet tai linkit roskapostiviesteissä (sähköpostit, DM-viestit/PM-viestit, tekstiviestit, sosiaalisen median/foorumin viestit), haittaohjelmat, piraattiohjelmistot tai -mediat, laittomat ohjelmien aktivointityökalut (tunnetaan yleisesti nimellä "cracks") ja väärennetyt päivitykset ovat myös yleisiä vektoreita.

On syytä huomata, että haittaohjelmien kehittäjät voivat hyödyntää laillisia latauskanavia, kuten Google Play Kauppaa, levittääkseen luomuksiaan. Vaikka autenttisilla alustoilla on käytössä toimenpiteitä tällaisen väärinkäytön torjumiseksi, mikä estää vaarallisen sisällön pitkäikäisyyden, jopa lyhyttä isännöintiaikaa näillä alustoilla voidaan pitää tuottoisena petokseen liittyville toimijoille.