Greenbean Banking-trojan

Greenbean wordt door cyberbeveiligingsexperts geïdentificeerd als een banktrojan, speciaal ontworpen om Android-besturingssystemen te infiltreren. Deze bedreigende software, waarvan bekend is dat deze al sinds 2023 bestaat, is voornamelijk gericht op het extraheren van financiële informatie en andere bankgerelateerde gegevens. Met name is waargenomen dat Greenbean zich richt op gebruikers in Vietnam en China, wat wijst op een geografische focus op deze regio's.

De Greenbean Banking Trojan kan gevoelige gebruikersinformatie in gevaar brengen

Greenbean maakt, net als veel andere Trojaanse paarden die zich op Android-apparaten richten, gebruik van de mogelijkheden van Android Accessibility Services, die oorspronkelijk waren ontworpen om de gebruikersinteractie voor personen met specifieke behoeften te verbeteren. Deze diensten verlenen de trojan verschillende manipulatieve functies, zoals schermlezen, touchscreen- en toetsenbordsimulatie, interactie met dialoogvensters en het vergrendelen/ontgrendelen van apparaten. Wanneer deze diensten worden misbruikt, kunnen Trojaanse paarden zoals Greenbean hun mogelijkheden volledig benutten.

Bij infiltratie vraagt Greenbean gebruikers om toegankelijkheidsrechten te verlenen; bij ontvangst verhoogt de malware zijn privileges. Vervolgens initieert de trojan de gegevensverzameling, waaronder apparaat- en netwerkinformatie, de lijst met geïnstalleerde applicaties, contactlijsten, sms-gegevens en meer.

Greenbean breidt zijn functionaliteiten uit door bestanden en afbeeldingen te downloaden en inhoud van het klembord te extraheren. Hoewel de trojan sms-berichten kan verzenden, is er volgens de huidige informatie niet waargenomen dat hij zich schuldig maakte aan tolfraude. Bovendien introduceert Greenbean een nieuwe functie door schermafbeeldingen te maken, het scherm van het geïnfecteerde apparaat te streamen en te bekijken vanaf de camera's.

Het primaire doel van Greenbean is het verzamelen van persoonlijk identificeerbare informatie, inloggegevens en financiële gegevens van zijn slachtoffers. Het richt zich specifiek op toepassingen zoals Gmail, WeChat, AliPay, MyVIB, MetaMask en Paybis. Greenbean kan met name uitgaande geldtransacties manipuleren door de gegevens van de ontvanger te wijzigen en kan zelfs transacties initiëren zonder de inbreng van de slachtoffers.

Infectievectoren die worden gebruikt om de Greenbean Banking Trojan te implementeren

Greenbean is geïdentificeerd in distributie via een website, antlercrypto(dot)com, die een cryptocurrency-applicatie promoot die aanzienlijke uitbetalingen belooft. Gebruikers die kiezen voor de downloadfunctie op deze site activeren het downloaden van een bestand met de naam 'AntlerWeath.apk' van een domein dat wordt gehost op Amazon AWS. Het is belangrijk om te erkennen dat alternatieve domeinen, bestandsnamen of verspreidingsmethoden ook kunnen worden gebruikt om deze specifieke malware te verspreiden.

Meestal verspreidt malware zich via phishing- en social engineering-technieken, vaak vermomd als of gebundeld met ogenschijnlijk gewone programma's of mediabestanden. De meest voorkomende distributiemethoden omvatten online tactieken, discrete drive-by downloads, onbetrouwbare downloadbronnen zoals freeware en gratis sites voor het hosten van bestanden, peer-to-peer-deelnetwerken en app-winkels van derden. Frauduleuze bijlagen of links in spamberichten (e-mails, DM's/PM's, sms'en, sociale media/forumposts), malvertising, illegale software of media, illegale programma-activeringstools (algemeen bekend als 'cracks') en nep-updates zijn ook veelvoorkomende vectoren.

Het is vermeldenswaard dat malware-ontwikkelaars legitieme downloadkanalen zoals de Google Play Store kunnen misbruiken om hun creaties te verspreiden. Hoewel authentieke platforms over maatregelen beschikken om dergelijk misbruik tegen te gaan, waardoor de levensduur van onveilige inhoud wordt belemmerd, kan zelfs de korte hostingtijd op deze platforms als lucratief worden beschouwd voor fraudegerelateerde actoren.