Greenbean Banking Trojan

Greenbean מזוהה כטרויאני בנקאי על ידי מומחי אבטחת סייבר, שנוצרו במיוחד כדי לחדור למערכות הפעלה אנדרואיד. תוכנה מאיימת זו, הידועה כקיימת מאז 2023 לפחות, מיועדת בעיקר לחילוץ מידע פיננסי ונתונים אחרים הקשורים לבנקאות. יש לציין כי Greenbean נצפתה מכוונת למשתמשים הממוקמים בווייטנאם ובסין, מה שמצביע על התמקדות גיאוגרפית באזורים אלה.

הטרויאני של Greenbean Banking עלול לפגוע במידע משתמש רגיש

Greenbean, כמו סוסים טרויאניים רבים המתמקדים במכשירי אנדרואיד, מנצלת את היכולות של שירותי הנגישות של אנדרואיד, אשר תוכננו בתחילה כדי לשפר את אינטראקציית המשתמש עבור אנשים עם צרכים ספציפיים. שירותים אלו מעניקים לטרויאני פונקציות מניפולטיביות שונות, כגון קריאת מסך, הדמיית מסך מגע ומקלדת, אינטראקציה עם תיבות דיאלוג, ונעילה/ביטול נעילה של המכשיר. כתוצאה מכך, כאשר נעשה שימוש לרעה בשירותים אלה, סוסים טרויאניים כמו Greenbean יכולים למנף את היכולות שלהם במלואן.

עם הסתננות, Greenbean מבקשת מהמשתמשים להעניק הרשאות נגישות; עם קבלתם, התוכנה הזדונית מעלה את הרשאותיה. לאחר מכן, הטרויאני יוזם איסוף נתונים, מקיף מידע על המכשיר והרשת, רשימת האפליקציות המותקנות, רשימות אנשי קשר, נתוני SMS ועוד.

Greenbean מרחיבה את הפונקציונליות שלה על ידי הורדת קבצים ותמונות וחילוץ תוכן מהלוח. בעוד שהוא מסוגל לשלוח SMS, הטרויאני לא נצפה מעורב בהונאת אגרה נכון למידע הנוכחי. יתר על כן, Greenbean מציגה תכונה חדשה על ידי צילום מסך, הזרמת מסך המכשיר הנגוע וצפייה מהמצלמות שלו.

המטרה העיקרית של Greenbean היא לאסוף מידע אישי מזהה, אישורי כניסה ונתונים פיננסיים מקורבנותיה. זה מכוון במיוחד ליישומים כמו Gmail, WeChat, AliPay, MyVIB, MetaMask ו-Paybis. במיוחד, Greenbean יכולה לתמרן עסקאות כספיות יוצאות על ידי שינוי פרטי המקלט ואף ליזום עסקאות ללא קלט של הקורבנות.

וקטורי זיהום המשמשים לפריסת הטרויאני של Greenbean Banking

Greenbean זוהתה בהפצה באמצעות אתר אינטרנט, antlercrypto(dot)com, המקדם אפליקציית מטבעות קריפטוגרפיים המבטיחים תשלומים משמעותיים. משתמשים שבוחרים בתכונת ההורדה באתר זה מפעילים הורדה של קובץ בשם 'AntlerWeath.apk' מדומיין שמתארח ב- Amazon AWS. חשוב להכיר בכך שדומיינים חלופיים, שמות קבצים או שיטות הפצה עשויים להיות מופעלים גם כדי להפיץ את התוכנה הזדונית הספציפית הזו.

בדרך כלל, תוכנות זדוניות מתפשטות באמצעות דיוג וטכניקות הנדסה חברתית, לעתים קרובות מתחפשות לתוכניות או קבצי מדיה רגילים לכאורה. שיטות ההפצה הנפוצות ביותר כוללות טקטיקות מקוונות, הורדות דחיפה דיסקרטיות, מקורות הורדה לא אמינים כגון תוכנות חינמיות ואתרי אירוח קבצים בחינם, רשתות שיתוף עמית לעמית וחנויות אפליקציות של צד שלישי. קבצים מצורפים או קישורים הונאה בהודעות דואר זבל (אימיילים, DMs/PMs, SMS, פוסטים ברשתות חברתיות/פורומים), פרסום רע, תוכנות או מדיה פיראטית, כלי הפעלה לא חוקיים של תוכניות (הידועים בכינויים 'סדקים') ועדכונים מזויפים הם גם וקטורים נפוצים.

ראוי לציין שמפתחי תוכנות זדוניות עשויים לנצל ערוצי הורדה לגיטימיים כמו חנות Google Play כדי להפיץ את היצירות שלהם. בעוד שלפלטפורמות אותנטיות יש אמצעים כדי לנטרל ניצול לרעה כזה, ובכך לעכב את אורך החיים של תוכן לא בטוח, אפילו זמן האירוח הקצר בפלטפורמות הללו יכול להיחשב משתלם עבור שחקנים הקשורים להונאה.