Greenbean Banking Trojas zirgs

Kiberdrošības eksperti Greenbean ir identificējuši kā banku Trojas zirgu, kas īpaši izstrādāts, lai iefiltrētos Android operētājsistēmās. Šī draudīgā programmatūra, kas, kā zināms, pastāv vismaz kopš 2023. gada, galvenokārt ir paredzēta finanšu informācijas un citu ar banku darbību saistītu datu iegūšanai. Jo īpaši ir novērots, ka Greenbean mērķauditorija ir lietotāji, kas atrodas Vjetnamā un Ķīnā, norādot ģeogrāfisko fokusu uz šiem reģioniem.

Greenbean Banking Trojas zirgs var apdraudēt sensitīvu lietotāja informāciju

Greenbean, tāpat kā daudzi Trojas zirgi, kuru mērķauditorija ir Android ierīces, izmanto Android pieejamības pakalpojumu iespējas, kas sākotnēji tika izstrādātas, lai uzlabotu lietotāju mijiedarbību personām ar īpašām vajadzībām. Šie pakalpojumi piešķir Trojas zirgam dažādas manipulācijas funkcijas, piemēram, ekrāna lasīšanu, skārienekrāna un tastatūras simulāciju, mijiedarbību ar dialoglodziņu un ierīces bloķēšanu/atbloķēšanu. Līdz ar to, ja šie pakalpojumi tiek ļaunprātīgi izmantoti, Trojas zirgi, piemēram, Greenbean, var pilnībā izmantot savas iespējas.

Pēc infiltrācijas Greenbean liek lietotājiem piešķirt pieejamības atļaujas; tos saņemot, ļaunprogrammatūra paaugstina savas privilēģijas. Pēc tam Trojas zirgs sāk datu vākšanu, ietverot informāciju par ierīci un tīklu, instalēto lietojumprogrammu sarakstu, kontaktpersonu sarakstus, SMS datus un daudz ko citu.

Greenbean paplašina savas funkcijas, lejupielādējot failus un attēlus un izvelkot saturu no starpliktuves. Lai gan Trojas zirgs spēj nosūtīt īsziņas, pašlaik nav novērots, ka tas būtu iesaistīts maksas krāpniecībā. Turklāt Greenbean ievieš jaunu funkciju, uzņemot ekrānuzņēmumus, straumējot inficētās ierīces ekrānu un skatoties no tās kamerām.

Greenbean galvenais mērķis ir iegūt no upuriem personu identificējošu informāciju, pieteikšanās akreditācijas datus un finanšu datus. Tā īpaši paredzēta tādām lietojumprogrammām kā Gmail, WeChat, AliPay, MyVIB, MetaMask un Paybis. Proti, Greenbean var manipulēt ar izejošajiem naudas darījumiem, mainot saņēmēja informāciju, un pat var uzsākt darījumus bez upuru ieguldījuma.

Infekcijas vektori, kas izmantoti Greenbean Banking Trojas zirga izvietošanai

Greenbean ir identificēts izplatīšanā, izmantojot vietni antlercrypto(dot)com, kas reklamē kriptovalūtas lietojumprogrammu, solot ievērojamas izmaksas. Lietotāji, kuri izvēlas lejupielādes funkciju šajā vietnē, aktivizē faila ar nosaukumu “AntlerWeath.apk” lejupielādi no domēna, kas mitināts vietnē Amazon AWS. Ir svarīgi apzināties, ka, lai izplatītu šo konkrēto ļaunprātīgo programmatūru, var tikt izmantoti arī alternatīvi domēni, failu nosaukumi vai izplatīšanas metodes.

Parasti ļaunprātīga programmatūra izplatās, izmantojot pikšķerēšanas un sociālās inženierijas metodes, bieži maskējoties kā šķietami parastās programmas vai multivides faili vai kopā ar tiem. Visizplatītākās izplatīšanas metodes ietver tiešsaistes taktiku, diskrētas lejupielādes, neuzticamus lejupielādes avotus, piemēram, bezmaksas programmatūru un bezmaksas failu mitināšanas vietnes, vienādranga koplietošanas tīklus un trešo pušu lietotņu veikalus. Krāpnieciski pielikumi vai saites surogātpasta ziņojumos (e-pastā, DM/PM, SMS, sociālo mediju/foruma ziņās), ļaunprātīga reklāma, pirātiska programmatūra vai plašsaziņas līdzekļi, nelegāli programmu aktivizēšanas rīki (pazīstami kā "plaisas") un viltoti atjauninājumi ir arī izplatīti vektori.

Ir vērts atzīmēt, ka ļaunprātīgas programmatūras izstrādātāji var izmantot likumīgus lejupielādes kanālus, piemēram, Google Play veikalu, lai izplatītu savus darbus. Lai gan autentiskajās platformās ir ieviesti pasākumi, lai novērstu šādu ļaunprātīgu izmantošanu, tādējādi kavējot nedroša satura ilgmūžību, pat īso mitināšanas laiku šajās platformās var uzskatīt par ienesīgu ar krāpšanu saistītiem dalībniekiem.