Trojan bancario Greenbean
Greenbean viene identificato dagli esperti di sicurezza informatica come un trojan bancario, creato appositamente per infiltrarsi nei sistemi operativi Android. Questo software minaccioso, noto per esistere almeno dal 2023, è principalmente orientato all’estrazione di informazioni finanziarie e altri dati relativi al settore bancario. In particolare, è stato osservato che Greenbean prende di mira utenti situati in Vietnam e Cina, indicando un focus geografico su queste regioni.
Il trojan bancario Greenbean potrebbe compromettere le informazioni sensibili dell'utente
Greenbean, come molti trojan che prendono di mira i dispositivi Android, sfrutta le funzionalità dei servizi di accessibilità Android, inizialmente progettati per migliorare l'interazione dell'utente per individui con esigenze specifiche. Questi servizi garantiscono al trojan varie funzioni manipolative, come la lettura dello schermo, la simulazione del touchscreen e della tastiera, l'interazione con le finestre di dialogo e il blocco/sblocco del dispositivo. Di conseguenza, quando questi servizi vengono utilizzati in modo improprio, i trojan come Greenbean possono sfruttare appieno le proprie capacità.
Dopo l'infiltrazione, Greenbean richiede agli utenti di concedere le autorizzazioni di accessibilità; dopo averli ricevuti, il malware eleva i suoi privilegi. Successivamente, il trojan avvia la raccolta dei dati, comprendendo informazioni sul dispositivo e sulla rete, l'elenco delle applicazioni installate, elenchi di contatti, dati SMS e altro ancora.
Greenbean estende le sue funzionalità scaricando file e immagini ed estraendo contenuti dagli appunti. Sebbene sia in grado di inviare SMS, secondo le informazioni attuali il trojan non è stato osservato coinvolto in frodi tariffarie. Inoltre, Greenbean introduce una nuova funzionalità che consente di acquisire screenshot, trasmettere in streaming lo schermo del dispositivo infetto e visualizzarlo dalle sue fotocamere.
L'obiettivo principale di Greenbean è raccogliere informazioni di identificazione personale, credenziali di accesso e dati finanziari dalle sue vittime. Si rivolge specificamente ad applicazioni come Gmail, WeChat, AliPay, MyVIB, MetaMask e Paybis. In particolare, Greenbean può manipolare le transazioni monetarie in uscita alterando i dettagli del destinatario e può persino avviare transazioni senza il contributo delle vittime.
Vettori di infezione utilizzati per distribuire il trojan bancario Greenbean
Greenbean è stato identificato in distribuzione attraverso un sito web, antlercrypto(dot)com, che promuove un'applicazione di criptovaluta che promette pagamenti sostanziali. Gli utenti che optano per la funzionalità di download su questo sito attivano il download di un file denominato "AntlerWeath.apk" da un dominio ospitato su Amazon AWS. È importante riconoscere che per diffondere questo particolare malware possono essere utilizzati anche domini, nomi di file o metodi di diffusione alternativi.
In genere, il malware si diffonde attraverso tecniche di phishing e di ingegneria sociale, spesso mascherato o raggruppato con programmi o file multimediali apparentemente normali. I metodi di distribuzione più diffusi comprendono tattiche online, download drive-by discreti, fonti di download inaffidabili come siti di hosting di file gratuiti e gratuiti, reti di condivisione peer-to-peer e app store di terze parti. Altri vettori comuni sono allegati o collegamenti fraudolenti in messaggi di spam (e-mail, DM/PM, SMS, post su social media/forum), malvertising, software o media piratati, strumenti di attivazione di programmi illegali (comunemente noti come "crack") e aggiornamenti falsi.
Vale la pena notare che gli sviluppatori di malware possono sfruttare canali di download legittimi come Google Play Store per diffondere le loro creazioni. Sebbene le piattaforme autentiche dispongano di misure per contrastare tali abusi, impedendo così la longevità dei contenuti non sicuri, anche il breve tempo di hosting su queste piattaforme può essere considerato redditizio per gli attori legati alle frodi.
