Bankový trójsky kôň Greenbean

Greenbean je odborníkmi na kybernetickú bezpečnosť identifikovaný ako bankový trójsky kôň, špeciálne vytvorený na infiltráciu operačných systémov Android. Tento hrozivý softvér, o ktorom je známe, že existuje minimálne od roku 2023, je primárne zameraný na získavanie finančných informácií a iných údajov súvisiacich s bankovníctvom. Je pozoruhodné, že Greenbean sa zameral na používateľov vo Vietname a Číne, čo naznačuje geografické zameranie na tieto regióny.

Trójsky kôň Greenbean Banking by mohol ohroziť citlivé informácie používateľa

Greenbean, podobne ako mnoho trójskych koní zameraných na zariadenia so systémom Android, využíva možnosti služieb dostupnosti Android, ktoré boli pôvodne navrhnuté na zlepšenie interakcie používateľov pre jednotlivcov so špecifickými potrebami. Tieto služby poskytujú trójskemu koňovi rôzne manipulačné funkcie, ako je čítanie obrazovky, simulácia dotykovej obrazovky a klávesnice, interakcia s dialógovými oknami a zamykanie/odomykanie zariadenia. V dôsledku toho, keď sú tieto služby zneužité, trójske kone ako Greenbean môžu plne využiť svoje schopnosti.

Po infiltrácii Greenbean vyzve používateľov, aby udelili povolenia na prístupnosť; po ich prijatí malvér zvýši svoje privilégiá. Následne trójsky kôň iniciuje zber údajov, ktoré zahŕňajú informácie o zariadení a sieti, zoznam nainštalovaných aplikácií, zoznamy kontaktov, SMS údaje a ďalšie.

Greenbean rozširuje svoje funkcie sťahovaním súborov a obrázkov a extrahovaním obsahu zo schránky. Aj keď je trójsky kôň schopný odosielať SMS, podľa aktuálnych informácií nebol pozorovaný pri zapájaní sa do mýtneho podvodu. Okrem toho Greenbean predstavuje novú funkciu vytváraním snímok obrazovky, streamovaním obrazovky infikovaného zariadenia a sledovaním z kamier.

Primárnym cieľom Greenbean je zbierať osobné identifikačné informácie, prihlasovacie údaje a finančné údaje od svojich obetí. Konkrétne sa zameriava na aplikácie ako Gmail, WeChat, AliPay, MyVIB, MetaMask a Paybis. Greenbean môže manipulovať s odchádzajúcimi peňažnými transakciami zmenou údajov o príjemcovi a môže dokonca iniciovať transakcie bez vstupu obete.

Infekčné vektory použité na nasadenie trójskeho koňa Greenbean Banking

Greenbean bol identifikovaný v distribúcii prostredníctvom webovej stránky antlercrypto(dot)com, ktorá propaguje kryptomenovú aplikáciu sľubujúcu značné výplaty. Používatelia, ktorí sa rozhodnú pre funkciu sťahovania na tejto stránke, spúšťajú sťahovanie súboru s názvom „AntlerWeath.apk“ z domény hosťovanej na Amazon AWS. Je dôležité si uvedomiť, že na šírenie tohto konkrétneho škodlivého softvéru sa môžu použiť aj alternatívne domény, názvy súborov alebo metódy šírenia.

Malvér sa zvyčajne šíri prostredníctvom phishingu a techník sociálneho inžinierstva, pričom sa často vydáva za zdanlivo bežné programy alebo mediálne súbory alebo sa s nimi spája. Najrozšírenejšie metódy distribúcie zahŕňajú online taktiky, diskrétne sťahovanie, nedôveryhodné zdroje sťahovania, ako sú freeware a bezplatné servery na hosťovanie súborov, siete na zdieľanie Peer-to-Peer a obchody s aplikáciami tretích strán. Častými vektormi sú aj podvodné prílohy alebo odkazy v spamových správach (e-maily, DM/PM, SMS, príspevky na sociálnych médiách/fórach), škodlivá reklama, pirátsky softvér alebo médiá, nelegálne nástroje na aktiváciu programov (bežne známe ako „cracks“) a falošné aktualizácie.

Stojí za zmienku, že vývojári škodlivého softvéru môžu využívať legitímne kanály na sťahovanie, ako je Obchod Google Play, na šírenie svojich výtvorov. Zatiaľ čo autentické platformy majú zavedené opatrenia na boj proti takémuto zneužívaniu, čím sa bráni životnosti nebezpečného obsahu, dokonca aj krátky čas hosťovania na týchto platformách možno považovať za lukratívny pre aktérov súvisiacich s podvodmi.