Банковский троян Greenbean

Эксперты по кибербезопасности идентифицируют Greenbean как банковский троян, специально созданный для проникновения в операционные системы Android. Это угрожающее программное обеспечение, которое, как известно, существует как минимум с 2023 года, в первую очередь предназначено для извлечения финансовой информации и других данных, связанных с банковской деятельностью. Примечательно, что Greenbean нацелен на пользователей, находящихся во Вьетнаме и Китае, что указывает на географическую ориентацию на эти регионы.

Банковский троян Greenbean может поставить под угрозу конфиденциальную информацию пользователей

Greenbean, как и многие трояны, нацеленные на устройства Android, использует возможности служб Android Accessibility Services, которые изначально были разработаны для улучшения взаимодействия с пользователем для людей с особыми потребностями. Эти сервисы предоставляют трояну различные манипулятивные функции, такие как чтение с экрана, имитация сенсорного экрана и клавиатуры, взаимодействие с диалоговыми окнами, а также блокировка/разблокировка устройства. Следовательно, когда эти службы используются не по назначению, трояны, подобные Greenbean, могут полностью использовать свои возможности.

При проникновении Greenbean предлагает пользователям предоставить разрешения на доступ; получив их, вредоносная программа повышает свои привилегии. Впоследствии троян инициирует сбор данных, включая информацию об устройстве и сети, список установленных приложений, списки контактов, данные SMS и многое другое.

Greenbean расширяет свои функциональные возможности, загружая файлы и изображения и извлекая контент из буфера обмена. Несмотря на способность отправлять SMS, троян не был замечен в мошенничестве с междугородными звонками. Кроме того, Greenbean представляет новую функцию: создание снимков экрана, потоковую передачу экрана зараженного устройства и просмотр с его камер.

Основная цель Greenbean — собрать личную информацию, учетные данные для входа и финансовые данные своих жертв. Он специально нацелен на такие приложения, как Gmail, WeChat, AliPay, MyVIB, MetaMask и Paybis. Примечательно, что Greenbean может манипулировать исходящими денежными транзакциями, изменяя данные получателя, и даже инициировать транзакции без участия жертвы.

Векторы заражения, используемые для развертывания банковского трояна Greenbean

Greenbean был обнаружен при распространении через веб-сайт antlercrypto(dot)com, который продвигает криптовалютное приложение, обещающее существенные выплаты. Пользователи, которые выбирают функцию загрузки на этом сайте, запускают загрузку файла с именем AntlerWeath.apk из домена, размещенного на Amazon AWS. Важно осознавать, что для распространения этого конкретного вредоносного ПО также могут использоваться альтернативные домены, имена файлов или методы распространения.

Обычно вредоносное ПО распространяется с помощью методов фишинга и социальной инженерии, часто маскируясь под обычные программы или медиафайлы или объединяясь с ними. Наиболее распространенные методы распространения включают онлайн-тактику, скрытую попутную загрузку, ненадежные источники загрузки, такие как бесплатное программное обеспечение и бесплатные файловые хостинги, одноранговые сети обмена и сторонние магазины приложений. Мошеннические вложения или ссылки в спам-сообщениях (электронные письма, личные/личные сообщения, SMS-сообщения, сообщения в социальных сетях/на форумах), вредоносная реклама, пиратское программное обеспечение или носители, незаконные инструменты активации программ (широко известные как «взломщики») и поддельные обновления также являются распространенными векторами.

Стоит отметить, что разработчики вредоносных программ могут использовать законные каналы загрузки, такие как Google Play Store, для распространения своих творений. Хотя на аутентичных платформах предусмотрены меры для противодействия таким злоупотреблениям, что препятствует долговечности небезопасного контента, даже короткое время размещения на этих платформах может считаться прибыльным для субъектов, связанных с мошенничеством.