Greenbean Banking trójai

A Greenbeant banki trójaiként azonosították a kiberbiztonsági szakértők, amelyet kifejezetten az Android operációs rendszerekbe való behatolásra terveztek. Ez a fenyegető szoftver, amelyről ismert, hogy legalább 2023 óta létezik, elsősorban pénzügyi információk és egyéb banki adatok kinyerésére szolgál. Figyelemre méltó, hogy a Greenbean a vietnami és kínai felhasználókat célozza meg, ami azt jelzi, hogy földrajzilag ezekre a régiókra összpontosítanak.

A Greenbean Banking trójai veszélyeztetheti az érzékeny felhasználói információkat

A Greenbean, mint sok Android-eszközöket célzó trójai, kihasználja az Android Accessibility Services képességeit, amelyeket eredetileg arra terveztek, hogy javítsák a felhasználói interakciót a speciális igényekkel rendelkező egyének számára. Ezek a szolgáltatások különféle manipulációs funkciókat biztosítanak a trójai számára, mint például a képernyőolvasás, az érintőképernyő és a billentyűzet szimulációja, a párbeszédpanelekkel való interakció, valamint az eszköz zárolása/feloldása. Következésképpen, amikor ezekkel a szolgáltatásokkal visszaélnek, a Greenbean-hez hasonló trójaiak teljes mértékben kihasználhatják képességeiket.

Beszivárgáskor a Greenbean felkéri a felhasználókat, hogy adjanak kisegítő lehetőségeket; kézhezvételükkor a rosszindulatú program megemeli a jogosultságait. Ezt követően a trójai adatgyűjtést kezdeményez, amely magában foglalja az eszköz- és hálózati információkat, a telepített alkalmazások listáját, a névjegyzékeket, az SMS-adatokat és egyebeket.

A Greenbean kiterjeszti funkcióit fájlok és képek letöltésével, valamint a vágólapról való tartalom kibontásával. Bár SMS-küldésre képes, a trójairól a jelenlegi információk szerint nem figyeltek meg útdíjcsalást. Ezenkívül a Greenbean egy új funkciót mutat be: képernyőképeket készít, streamelheti a fertőzött eszköz képernyőjét, és megtekinti a kamerákról.

A Greenbean elsődleges célja személyazonosításra alkalmas adatok, bejelentkezési adatok és pénzügyi adatok begyűjtése áldozataitól. Kifejezetten olyan alkalmazásokat céloz meg, mint a Gmail, WeChat, AliPay, MyVIB, MetaMask és Paybis. Nevezetesen, a Greenbean manipulálni tudja a kimenő pénzügyleteket a fogadó adatainak megváltoztatásával, és akár tranzakciókat is kezdeményezhet az áldozatok közreműködése nélkül.

A Greenbean Banking Trojan telepítéséhez használt fertőzési vektorok

A Greenbeant azonosították az antlercrypto(dot)com webhelyen keresztül, amely jelentős kifizetéseket ígérő kriptovaluta alkalmazást hirdet. Azok a felhasználók, akik ezen a webhelyen a letöltési funkciót választják, egy „AntlerWeath.apk” nevű fájl letöltését indítják el az Amazon AWS-en tárolt domainről. Fontos felismerni, hogy alternatív tartományok, fájlnevek vagy terjesztési módszerek is alkalmazhatók az adott rosszindulatú program elterjedésére.

A rosszindulatú programok jellemzően adathalász és közösségi manipulációs technikák révén terjednek, gyakran látszólag közönséges programoknak vagy médiafájloknak álcázva magukat, vagy azokkal egybekötve. A legelterjedtebb terjesztési módszerek magukban foglalják az online taktikákat, a diszkrét gyors letöltéseket, a megbízhatatlan letöltési forrásokat, például az ingyenes szoftvereket és az ingyenes fájltároló webhelyeket, a peer-to-peer megosztó hálózatokat és harmadik féltől származó alkalmazásboltokat. Szintén gyakoriak a csalárd mellékletek vagy linkek a spam üzenetekben (e-mailek, DM-ek/PM-ek, SMS-ek, közösségi médiában/fórumbejegyzések), rosszindulatú hirdetések, kalóz szoftverek vagy média, illegális programaktiváló eszközök (általános nevén „crack”) és hamis frissítések.

Érdemes megjegyezni, hogy a rosszindulatú programok fejlesztői kihasználhatják az olyan legitim letöltési csatornákat, mint a Google Play Áruház alkotásaik terjesztésére. Míg az autentikus platformok rendelkeznek intézkedésekkel az ilyen visszaélések ellen, és ezáltal akadályozzák a nem biztonságos tartalmak hosszú élettartamát, ezeken a platformokon még a rövid tárolási idő is jövedelmezőnek tekinthető a csalással kapcsolatos szereplők számára.