Greenbean Banking Trojan

Strokovnjaki za kibernetsko varnost so Greenbean označili za bančnega trojanca, ki je posebej oblikovan za infiltracijo v operacijske sisteme Android. Ta nevarna programska oprema, za katero je znano, da obstaja vsaj od leta 2023, je namenjena predvsem pridobivanju finančnih informacij in drugih podatkov, povezanih z bančništvom. Opazili so predvsem, da Greenbean cilja na uporabnike v Vietnamu in na Kitajskem, kar kaže na geografsko osredotočenost na te regije.

Trojanec Greenbean Banking bi lahko ogrozil občutljive uporabniške podatke

Greenbean, tako kot mnogi trojanci, ki ciljajo na naprave Android, izkorišča zmožnosti storitev Android Accessibility Services, ki so bile prvotno zasnovane za izboljšanje uporabniške interakcije za posameznike s posebnimi potrebami. Te storitve trojancu zagotavljajo različne manipulativne funkcije, kot so branje zaslona, simulacija zaslona na dotik in tipkovnice, interakcija z pogovornimi okni in zaklepanje/odklepanje naprave. Če se te storitve zlorabijo, lahko trojanci, kot je Greenbean, v celoti izkoristijo svoje zmogljivosti.

Po infiltraciji Greenbean pozove uporabnike, naj dodelijo dovoljenja za dostopnost; ko jih prejme, zlonamerna programska oprema dvigne svoje privilegije. Nato trojanec sproži zbiranje podatkov, ki zajema informacije o napravah in omrežju, seznam nameščenih aplikacij, sezname stikov, podatke SMS in drugo.

Greenbean razširja svoje funkcionalnosti s prenašanjem datotek in slik ter ekstrahiranjem vsebine iz odložišča. Čeprav je sposoben pošiljanja SMS-ov, po trenutnih podatkih trojanec ni bil opažen, da bi sodeloval pri goljufijah s cestninami. Poleg tega Greenbean uvaja novo funkcijo s snemanjem posnetkov zaslona, pretakanjem zaslona okužene naprave in ogledom iz njenih kamer.

Primarni cilj Greenbeana je pridobivanje osebnih podatkov, poverilnic za prijavo in finančnih podatkov od svojih žrtev. Posebej cilja na aplikacije, kot so Gmail, WeChat, AliPay, MyVIB, MetaMask in Paybis. Predvsem lahko Greenbean manipulira z odhodnimi denarnimi transakcijami s spreminjanjem podatkov o prejemniku in lahko celo sproži transakcije brez vnosa žrtev.

Vektorji okužbe, uporabljeni za namestitev trojanca Greenbean Banking

Greenbean je bil prepoznan pri distribuciji prek spletnega mesta antlercrypto(dot)com, ki promovira aplikacijo za kriptovalute, ki obljublja znatna izplačila. Uporabniki, ki se odločijo za funkcijo prenosa na tem spletnem mestu, sprožijo prenos datoteke z imenom 'AntlerWeath.apk' iz domene, ki gostuje na Amazon AWS. Pomembno je vedeti, da se lahko za širjenje te posebne zlonamerne programske opreme uporabijo tudi alternativne domene, imena datotek ali metode razširjanja.

Običajno se zlonamerna programska oprema širi s tehnikami lažnega predstavljanja in družbenega inženiringa, ki se pogosto pretvarjajo v navidezno običajne programe ali predstavnostne datoteke ali so v paketu z njimi. Najbolj razširjeni načini distribucije vključujejo spletne taktike, diskretne naključne prenose, nezaupljive vire prenosov, kot so brezplačna programska oprema in spletna mesta za brezplačno gostovanje datotek, omrežja za skupno rabo enakovrednih in trgovine z aplikacijami tretjih oseb. Pogosti vektorji so tudi goljufive priloge ali povezave v neželeni pošti (e-poštna sporočila, DM/PMs, SMS-ji, objave v družabnih omrežjih/forumih), zlonamerno oglaševanje, piratska programska oprema ali mediji, nezakonita orodja za aktiviranje programov (splošno znana kot »razpoke«) in lažne posodobitve.

Omeniti velja, da lahko razvijalci zlonamerne programske opreme izkoristijo zakonite kanale za prenos, kot je trgovina Google Play, za širjenje svojih stvaritev. Čeprav imajo verodostojne platforme vzpostavljene ukrepe za preprečevanje takšnih zlorab, s čimer ovirajo dolgo življenjsko dobo nevarne vsebine, se lahko celo kratek čas gostovanja na teh platformah šteje za donosen za akterje, povezane z goljufijami.