Greenbean 뱅킹 트로이 목마

Greenbean은 사이버 보안 전문가에 의해 Android 운영 체제에 침투하기 위해 특별히 제작된 뱅킹 트로이 목마로 식별되었습니다. 최소 2023년부터 존재한 것으로 알려진 이 위협적인 소프트웨어는 주로 금융 정보 및 기타 은행 관련 데이터를 추출하는 데 사용됩니다. 특히 Greenbean은 베트남과 중국에 위치한 사용자를 표적으로 삼는 것으로 관찰되었으며, 이는 이 지역에 지리적 초점이 있음을 나타냅니다.

Greenbean Banking 트로이 목마는 민감한 사용자 정보를 손상시킬 수 있습니다

Android 장치를 대상으로 하는 많은 트로이 목마와 마찬가지로 Greenbean은 특정 요구 사항이 있는 개인을 위한 사용자 상호 작용을 향상시키기 위해 처음에 설계된 Android 접근성 서비스의 기능을 활용합니다. 이러한 서비스는 화면 읽기, 터치스크린 및 키보드 시뮬레이션, 대화 상자와의 상호 작용, 장치 잠금/잠금 해제와 같은 다양한 조작 기능을 트로이 목마에 부여합니다. 결과적으로 이러한 서비스가 오용되면 Greenbean과 같은 트로이 목마가 해당 기능을 최대한 활용할 수 있습니다.

침입 시 Greenbean은 사용자에게 접근성 권한을 부여하라는 메시지를 표시합니다. 이를 수신하면 맬웨어는 권한을 상승시킵니다. 이후 트로이 목마는 장치 및 네트워크 정보, 설치된 애플리케이션 목록, 연락처 목록, SMS 데이터 등을 포함하는 데이터 수집을 시작합니다.

Greenbean은 파일과 이미지를 다운로드하고 클립보드에서 콘텐츠를 추출하여 기능을 확장합니다. SMS를 보낼 수는 있지만 현재 정보에서는 트로이 목마가 통화 사기에 연루된 것으로 관찰되지 않았습니다. 또한 Greenbean은 스크린샷을 찍고, 감염된 장치의 화면을 스트리밍하고, 카메라에서 보는 등 새로운 기능을 도입합니다.

Greenbean의 주요 목표는 피해자로부터 개인 식별 정보, 로그인 자격 증명 및 금융 데이터를 수집하는 것입니다. 특히 Gmail, WeChat, AliPay, MyVIB, MetaMask 및 Paybis와 같은 애플리케이션을 대상으로 합니다. 특히 Greenbean은 수취인 세부 정보를 변경하여 나가는 금전 거래를 조작할 수 있으며 심지어 피해자의 입력 없이 거래를 시작할 수도 있습니다.

Greenbean Banking Trojan 배포에 활용된 감염 벡터

Greenbean은 상당한 지불금을 약속하는 암호화폐 애플리케이션을 홍보하는 웹사이트 antlercrypto(dot)com을 통해 배포되는 것으로 확인되었습니다. 이 사이트에서 다운로드 기능을 선택한 사용자는 Amazon AWS에 호스팅된 도메인에서 'AntlerWeath.apk'라는 파일 다운로드를 트리거합니다. 이 특정 악성 코드를 확산시키기 위해 대체 도메인, 파일 이름 또는 배포 방법이 사용될 수도 있다는 점을 인식하는 것이 중요합니다.

일반적으로 맬웨어는 피싱 및 사회 공학 기술을 통해 확산되며, 흔히 겉보기에 평범한 프로그램이나 미디어 파일로 가장하거나 함께 묶습니다. 가장 널리 사용되는 배포 방법에는 온라인 전술, 신중한 드라이브 바이 다운로드, 프리웨어 및 무료 파일 호스팅 사이트와 같은 신뢰할 수 없는 다운로드 소스, P2P 공유 네트워크 및 타사 앱 스토어가 포함됩니다. 스팸 메시지(이메일, DM/PM, SMS, 소셜 미디어/포럼 게시물)의 사기성 첨부 파일 또는 링크, 악성 광고, 불법 복제 소프트웨어 또는 미디어, 불법 프로그램 활성화 도구(일반적으로 '크랙'이라고 함) 및 가짜 업데이트도 일반적인 벡터입니다.

맬웨어 개발자가 자신의 창작물을 유포하기 위해 Google Play 스토어와 같은 합법적인 다운로드 채널을 이용할 수 있다는 점은 주목할 가치가 있습니다. 정통 플랫폼에는 이러한 남용에 대응하기 위한 조치가 마련되어 있어 안전하지 않은 콘텐츠의 수명이 저해되지만, 이러한 플랫폼에서 짧은 호스팅 시간이라도 사기 관련 행위자에게는 유리한 것으로 간주될 수 있습니다.