Greenbean Banking Trojan

Greenbean er identifisert som en banktrojaner av cybersikkerhetseksperter, spesielt laget for å infiltrere Android-operativsystemer. Denne truende programvaren, kjent for å ha eksistert siden minst 2023, er først og fremst rettet mot å trekke ut finansiell informasjon og andre bankrelaterte data. Spesielt har Greenbean blitt observert rettet mot brukere lokalisert i Vietnam og Kina, noe som indikerer et geografisk fokus på disse regionene.

Greenbean Banking Trojan kan kompromittere sensitiv brukerinformasjon

Greenbean, som mange trojanere som retter seg mot Android-enheter, utnytter mulighetene til Android Accessibility Services, som opprinnelig ble designet for å forbedre brukerinteraksjonen for personer med spesifikke behov. Disse tjenestene gir trojaneren ulike manipulerende funksjoner, som skjermlesing, berøringsskjerm og tastatursimulering, interaksjon med dialogbokser og enhetslåsing/opplåsing. Følgelig, når disse tjenestene blir misbrukt, kan trojanere som Greenbean fullt ut utnytte sine evner.

Ved infiltrasjon ber Greenbean brukere om å gi tilgangstillatelser; Når den mottar dem, øker skadelig programvare sine privilegier. Deretter starter trojaneren datainnsamling, som omfatter enhets- og nettverksinformasjon, listen over installerte applikasjoner, kontaktlister, SMS-data og mer.

Greenbean utvider funksjonaliteten ved å laste ned filer og bilder og trekke ut innhold fra utklippstavlen. Selv om trojaneren er i stand til å sende SMS, har den ikke blitt observert engasjert i bompengesvindel fra og med den nåværende informasjonen. Videre introduserer Greenbean en ny funksjon ved å ta skjermbilder, streame den infiserte enhetens skjerm og se fra kameraene.

Det primære målet med Greenbean er å samle inn personlig identifiserbar informasjon, påloggingsinformasjon og økonomiske data fra ofrene. Den retter seg spesifikt mot applikasjoner som Gmail, WeChat, AliPay, MyVIB, MetaMask og Paybis. Spesielt kan Greenbean manipulere utgående pengetransaksjoner ved å endre mottakerdetaljer og kan til og med starte transaksjoner uten ofrenes innspill.

Infeksjonsvektorer som brukes til å distribuere Greenbean Banking Trojan

Greenbean har blitt identifisert i distribusjon gjennom et nettsted, antlercrypto(dot)com, som promoterer en kryptovalutaapplikasjon som lover betydelige utbetalinger. Brukere som velger nedlastingsfunksjonen på denne siden utløser nedlastingen av en fil med navnet 'AntlerWeath.apk' fra et domene hostet på Amazon AWS. Det er viktig å erkjenne at alternative domener, filnavn eller spredningsmetoder også kan brukes for å spre denne spesielle skadevare.

Vanligvis sprer skadelig programvare gjennom phishing og sosiale ingeniørteknikker, ofte maskert som eller buntet sammen med tilsynelatende vanlige programmer eller mediefiler. De mest utbredte distribusjonsmetodene omfatter netttaktikker, diskret drive-by-nedlastinger, upålitelige nedlastingskilder som freeware og gratis filhostingssider, Peer-to-Peer-delingsnettverk og tredjeparts appbutikker. Uredelige vedlegg eller lenker i spam-meldinger (e-poster, DM-er/PM-er, SMS-er, sosiale medier/foruminnlegg), malvertising, piratkopiert programvare eller media, ulovlige programaktiveringsverktøy (ofte kjent som "cracks") og falske oppdateringer er også vanlige vektorer.

Det er verdt å merke seg at utviklere av skadelig programvare kan utnytte legitime nedlastingskanaler som Google Play Store for å spre kreasjonene deres. Selv om autentiske plattformer har tiltak på plass for å motvirke slikt misbruk, og dermed hindrer varigheten av usikkert innhold, kan selv den korte vertstiden på disse plattformene anses som lukrative for svindelrelaterte aktører.