Greenbean Banking Trojan

Greenbean identifieras som en banktrojan av cybersäkerhetsexperter, speciellt utformad för att infiltrera Android-operativsystem. Denna hotfulla programvara, som är känd för att ha funnits sedan åtminstone 2023, är främst inriktad på att extrahera finansiell information och annan bankrelaterad data. Speciellt har Greenbean observerats riktat mot användare i Vietnam och Kina, vilket indikerar ett geografiskt fokus på dessa regioner.

Greenbean Banking Trojan kan äventyra känslig användarinformation

Greenbean, som många trojaner som riktar sig till Android-enheter, utnyttjar funktionerna hos Android Accessibility Services, som ursprungligen utformades för att förbättra användarinteraktion för individer med specifika behov. Dessa tjänster ger trojanen olika manipulativa funktioner, såsom skärmläsning, pekskärms- och tangentbordssimulering, interaktion med dialogrutor och enhetslåsning/upplåsning. Följaktligen, när dessa tjänster missbrukas kan trojaner som Greenbean fullt ut utnyttja sina möjligheter.

Vid infiltration uppmanar Greenbean användare att ge tillgänglighetsbehörigheter; när den tar emot dem, höjer skadlig programvara sina privilegier. Därefter initierar trojanen datainsamling, omfattar enhets- och nätverksinformation, listan över installerade applikationer, kontaktlistor, SMS-data och mer.

Greenbean utökar sina funktioner genom att ladda ner filer och bilder och extrahera innehåll från urklipp. Trots att trojanen kan skicka SMS har den inte observerats ägna sig åt avgiftsbedrägeri med den aktuella informationen. Dessutom introducerar Greenbean en ny funktion genom att ta skärmdumpar, streama den infekterade enhetens skärm och titta från dess kameror.

Det primära syftet med Greenbean är att samla in personligt identifierbar information, inloggningsuppgifter och ekonomisk data från dess offer. Den riktar sig specifikt till applikationer som Gmail, WeChat, AliPay, MyVIB, MetaMask och Paybis. Speciellt kan Greenbean manipulera utgående monetära transaktioner genom att ändra mottagaruppgifter och kan till och med initiera transaktioner utan offrens input.

Infektionsvektorer som används för att distribuera Greenbean Banking Trojan

Greenbean har identifierats i distribution via en webbplats, antlercrypto(dot)com, som marknadsför en kryptovalutaapplikation som lovar betydande utbetalningar. Användare som väljer nedladdningsfunktionen på den här webbplatsen utlöser nedladdningen av en fil med namnet 'AntlerWeath.apk' från en domän hos Amazon AWS. Det är viktigt att inse att alternativa domäner, filnamn eller spridningsmetoder också kan användas för att sprida just denna skadliga programvara.

Vanligtvis sprids skadlig programvara genom nätfiske och social ingenjörsteknik, ofta maskerad som eller kombineras med till synes vanliga program eller mediefiler. De vanligaste distributionsmetoderna omfattar online-taktik, diskreta drive-by-nedladdningar, opålitliga nedladdningskällor som gratisprogram och gratis fil-hosting-webbplatser, Peer-to-Peer-delningsnätverk och appbutiker från tredje part. Bedrägliga bilagor eller länkar i skräppostmeddelanden (e-post, DM/PM, SMS, sociala medier/foruminlägg), malvertising, piratkopierad programvara eller media, illegala programaktiveringsverktyg (allmänt kända som "sprickor") och falska uppdateringar är också vanliga vektorer.

Det är värt att notera att utvecklare av skadlig programvara kan utnyttja legitima nedladdningskanaler som Google Play Butik för att sprida sina skapelser. Även om autentiska plattformar har åtgärder på plats för att motverka sådant missbruk, och därigenom förhindrar livslängden för osäkert innehåll, kan även den korta värdtiden på dessa plattformar anses vara lukrativ för bedrägerirelaterade aktörer.