Greenbean bankovni trojanac

Stručnjaci za kibernetičku sigurnost prepoznali su Greenbean kao bankovnog trojanaca, posebno izrađenog za infiltraciju u operativne sustave Android. Ovaj prijeteći softver, za koji se zna da postoji najmanje od 2023., prvenstveno je usmjeren na izvlačenje financijskih informacija i drugih podataka povezanih s bankarstvom. Naime, primijećeno je da Greenbean cilja korisnike koji se nalaze u Vijetnamu i Kini, što ukazuje na zemljopisni fokus na te regije.

Trojanac Greenbean Banking mogao bi ugroziti osjetljive korisničke podatke

Greenbean, kao i mnogi trojanci koji ciljaju Android uređaje, iskorištava mogućnosti Android Accessibility Services, koje su u početku bile dizajnirane za poboljšanje korisničke interakcije za pojedince sa specifičnim potrebama. Te usluge trojancu daju razne manipulativne funkcije, kao što su čitanje zaslona, simulacija zaslona osjetljivog na dodir i tipkovnice, interakcija s dijaloškim okvirima i zaključavanje/otključavanje uređaja. Posljedično, kada se te usluge zlorabe, trojanci poput Greenbeana mogu u potpunosti iskoristiti svoje mogućnosti.

Nakon infiltracije, Greenbean traži od korisnika da daju dopuštenja pristupačnosti; nakon što ih primi, malware podiže svoje privilegije. Nakon toga, trojanac započinje prikupljanje podataka, uključujući podatke o uređaju i mreži, popis instaliranih aplikacija, popise kontakata, SMS podatke i još mnogo toga.

Greenbean proširuje svoje funkcionalnosti preuzimanjem datoteka i slika te izdvajanjem sadržaja iz međuspremnika. Iako može slati SMS, trojanac prema trenutnim informacijama nije uočen u prijevarama s cestarinom. Nadalje, Greenbean uvodi novu značajku snimanja zaslona, strujanja zaslona zaraženog uređaja i gledanja s njegovih kamera.

Primarni cilj Greenbeana je prikupiti osobne podatke, vjerodajnice za prijavu i financijske podatke od svojih žrtava. Posebno cilja na aplikacije kao što su Gmail, WeChat, AliPay, MyVIB, MetaMask i Paybis. Naime, Greenbean može manipulirati odlaznim novčanim transakcijama mijenjanjem podataka o primatelju i čak može pokrenuti transakcije bez uključivanja žrtve.

Vektori infekcije korišteni za implementaciju Greenbean Banking Trojana

Greenbean je identificiran u distribuciji putem web stranice, antlercrypto(dot)com, koja promovira aplikaciju za kriptovalute koja obećava znatne isplate. Korisnici koji se odluče za značajku preuzimanja na ovoj stranici pokreću preuzimanje datoteke pod nazivom 'AntlerWeath.apk' s domene hostirane na Amazon AWS. Važno je prepoznati da se alternativne domene, nazivi datoteka ili metode širenja također mogu koristiti za širenje ovog konkretnog zlonamjernog softvera.

Zlonamjerni se softver obično širi putem krađe identiteta i tehnika društvenog inženjeringa, često se pretvarajući u naizgled obične programe ili medijske datoteke ili u paketu s njima. Najrašireniji načini distribucije obuhvaćaju online taktike, diskretna preuzimanja, nepouzdane izvore preuzimanja kao što su web-mjesta za besplatno i besplatno hosting datoteka, mreže za dijeljenje između ravnopravnih i trgovine aplikacija trećih strana. Lažni privici ili poveznice u neželjenim porukama (e-pošta, DM/PM, SMS-ovi, postovi na društvenim mrežama/forumu), zlonamjerno oglašavanje, piratski softver ili mediji, nezakoniti alati za aktivaciju programa (poznatiji kao 'crackovi') i lažna ažuriranja također su uobičajeni prijenosnici.

Vrijedno je napomenuti da programeri zlonamjernog softvera mogu iskoristiti legitimne kanale za preuzimanje poput trgovine Google Play za širenje svojih kreacija. Dok autentične platforme imaju uspostavljene mjere za suzbijanje takve zlouporabe, čime se sprječava dugotrajnost nesigurnog sadržaja, čak se i kratko vrijeme hostinga na tim platformama može smatrati unosnim za aktere povezane s prijevarama.