Greenbean Banking Trojan

O Greenbean foi identificado como um Trojan bancário pelos especialistas em segurança cibernética, criado especificamente para se infiltrar nos sistemas operacionais Android. Este software ameaçador, que existe pelo menos desde 2023, destina-se principalmente à extração de informações financeiras e outros dados bancários. Notavelmente, o Greenbean foi observado visando usuários localizados no Vietnã e na China, indicando um foco geográfico nessas regiões.

O Greenbean Banking Trojan pode Comprometer as Informações Confidenciais do Usuário

O Greenbean, como muitos Trojans direcionados aos dispositivos Android, explora os recursos dos Serviços de Acessibilidade do Android, que foram inicialmente projetados para melhorar a interação do usuário para indivíduos com necessidades específicas. Esses serviços concedem ao trojan várias funções manipulativas, como leitura de tela, simulação de tela sensível ao toque e teclado, interação com caixas de diálogo e bloqueio/desbloqueio de dispositivos. Consequentemente, quando estes serviços são mal utilizados, Trojans como o Greenbean podem aproveitar totalmente as suas capacidades.

Após a infiltração, o Greenbean solicita aos usuários que concedam permissões de acessibilidade; ao recebê-los, o malware eleva seus privilégios. Posteriormente, o trojan inicia a coleta de dados, abrangendo informações do dispositivo e da rede, lista de aplicativos instalados, listas de contatos, dados de SMS e muito mais.

Greenbean amplia suas funcionalidades baixando arquivos e imagens e extraindo conteúdo da área de transferência. Embora seja capaz de enviar SMS, o trojan não foi observado envolvido em fraude de tarifas até as informações atuais. Além disso, o Greenbean apresenta um novo recurso ao fazer capturas de tela, transmitir a tela do dispositivo infectado e visualizar a partir de suas câmeras.

O objetivo principal do Greenbean é coletar informações de identificação pessoal, credenciais de login e dados financeiros de suas vítimas. Destina-se especificamente a aplicações como Gmail, WeChat, AliPay, MyVIB, MetaMask e Paybis. Notavelmente, o Greenbean pode manipular as transações monetárias de saída, alterando os detalhes do destinatário e pode até iniciar transações sem a contribuição das vítimas.

Vetores de Infecção Utilizados para Implantar o Greenbean Banking Trojan

Greenbean foi identificado em distribuição por meio de um site, antlercrypto(dot)com, que promove um aplicativo de criptomoeda que promete pagamentos substanciais. Os usuários que optam pelo recurso de download neste site acionam o download de um arquivo chamado ‘AntlerWeath.apk’ de um domínio hospedado na Amazon AWS. É importante reconhecer que domínios, nomes de arquivos ou métodos de disseminação alternativos também podem ser empregados para proliferar esse malware específico.

Normalmente, o malware se espalha por meio de técnicas de phishing e engenharia social, muitas vezes disfarçando-se ou agrupando-se com programas ou arquivos de mídia aparentemente comuns. Os métodos de distribuição mais comuns abrangem táticas on-line, downloads discretos, fontes de download não confiáveis, como freeware e sites de hospedagem de arquivos gratuitos, redes de compartilhamento peer-to-peer e lojas de aplicativos de terceiros. Anexos ou links fraudulentos em mensagens de spam (e-mails, DMs/PMs, SMS, mídias sociais/postagens em fóruns), malvertising, software ou mídia pirateada, ferramentas ilegais de ativação de programas (comumente conhecidas como 'cracks') e atualizações falsas também são vetores comuns.

É importante notar que os desenvolvedores de malware podem explorar canais de download legítimos, como a Google Play Store, para divulgar suas criações. Embora as plataformas autênticas tenham em vigor medidas para combater esse abuso, impedindo assim a longevidade de conteúdos perigosos, mesmo o breve período de alojamento nestas plataformas pode ser considerado lucrativo para os intervenientes relacionados com a fraude.