Trojan bankowy Greenbean

Eksperci ds. cyberbezpieczeństwa zidentyfikowali Greenbean jako trojana bankowego, stworzonego specjalnie w celu infiltracji systemów operacyjnych Android. To groźne oprogramowanie, o którym wiadomo, że istnieje co najmniej od 2023 roku, którego głównym celem jest wydobywanie informacji finansowych i innych danych związanych z bankowością. Warto zauważyć, że zaobserwowano, że Greenbean jest ukierunkowany na użytkowników znajdujących się w Wietnamie i Chinach, co wskazuje na geograficzne skupienie się na tych regionach.

Trojan bankowy Greenbean może naruszyć poufne informacje użytkownika

Greenbean, podobnie jak wiele trojanów atakujących urządzenia z systemem Android, wykorzystuje możliwości usług ułatwień dostępu systemu Android, które pierwotnie miały na celu usprawnienie interakcji użytkownika z osobami o określonych potrzebach. Usługi te zapewniają trojanowi różne funkcje manipulacyjne, takie jak odczyt ekranu, symulacja ekranu dotykowego i klawiatury, interakcja z oknami dialogowymi oraz blokowanie/odblokowywanie urządzenia. W rezultacie, gdy usługi te są niewłaściwie wykorzystywane, trojany takie jak Greenbean mogą w pełni wykorzystać swoje możliwości.

Po infiltracji Greenbean monituje użytkowników o przyznanie uprawnień dostępu; po ich otrzymaniu szkodliwe oprogramowanie podnosi swoje uprawnienia. Następnie trojan inicjuje gromadzenie danych obejmujących informacje o urządzeniu i sieci, listę zainstalowanych aplikacji, listy kontaktów, dane SMS i inne.

Greenbean rozszerza swoje funkcjonalności o pobieranie plików i obrazów oraz wyodrębnianie treści ze schowka. Na dzień dzisiejszy nie zaobserwowano, aby trojan ten brał udział w oszustwach związanych z opłatami drogowymi, mimo że może wysyłać wiadomości SMS. Co więcej, Greenbean wprowadza nowatorską funkcję polegającą na robieniu zrzutów ekranu, przesyłaniu strumieniowym ekranu zainfekowanego urządzenia i oglądaniu go z jego kamer.

Głównym celem Greenbean jest zbieranie danych osobowych, danych logowania i danych finansowych od swoich ofiar. Jego celem są w szczególności aplikacje takie jak Gmail, WeChat, AliPay, MyVIB, MetaMask i Paybis. Warto zauważyć, że Greenbean może manipulować wychodzącymi transakcjami pieniężnymi, zmieniając dane odbiorcy, a nawet może inicjować transakcje bez udziału ofiary.

Wektory infekcji wykorzystane do wdrożenia trojana bankowego Greenbean

Greenbean został zidentyfikowany w dystrybucji za pośrednictwem strony internetowej antlercrypto(dot)com, która promuje aplikację kryptowalutową obiecującą znaczne wypłaty. Użytkownicy, którzy zdecydują się na funkcję pobierania w tej witrynie, powodują pobranie pliku o nazwie „AntlerWeath.apk” z domeny hostowanej na Amazon AWS. Należy pamiętać, że do rozsyłania tego konkretnego szkodliwego oprogramowania można również zastosować alternatywne domeny, nazwy plików lub metody rozpowszechniania.

Zazwyczaj złośliwe oprogramowanie rozprzestrzenia się za pomocą technik phishingu i inżynierii społecznej, często podszywając się pod pozornie zwyczajne programy lub pliki multimedialne lub dołączając do nich. Najbardziej rozpowszechnione metody dystrybucji obejmują taktyki online, dyskretne pobieranie dyskowe, niewiarygodne źródła pobierania, takie jak witryny z bezpłatnym oprogramowaniem i bezpłatnym hostingiem plików, sieci udostępniania peer-to-peer i zewnętrzne sklepy z aplikacjami. Fałszywe załączniki lub łącza w wiadomościach spamowych (e-mailach, wiadomościach błyskawicznych/PM, SMS-ach, postach w mediach społecznościowych/forach), złośliwe reklamy, pirackie oprogramowanie lub media, nielegalne narzędzia aktywacyjne programów (powszechnie znane jako „łamania zabezpieczeń”) i fałszywe aktualizacje są również częstymi wektorami.

Warto zauważyć, że twórcy złośliwego oprogramowania mogą wykorzystywać legalne kanały pobierania, takie jak sklep Google Play, do rozpowszechniania swoich dzieł. Chociaż autentyczne platformy posiadają środki przeciwdziałające takim nadużyciom, utrudniając w ten sposób trwałość niebezpiecznych treści, nawet krótki czas hostowania na tych platformach można uznać za lukratywny dla podmiotów powiązanych z oszustwami.