โทรจันธนาคาร Greenbean

Greenbean ถูกระบุว่าเป็นโทรจันธนาคารโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งออกแบบมาเพื่อแทรกซึมระบบปฏิบัติการ Android โดยเฉพาะ ซอฟต์แวร์คุกคามนี้ ซึ่งทราบกันว่ามีมาตั้งแต่ปี 2023 เป็นอย่างน้อย โดยมีเป้าหมายหลักในการดึงข้อมูลทางการเงินและข้อมูลอื่นๆ ที่เกี่ยวข้องกับธนาคาร โดยเฉพาะอย่างยิ่ง มีการสังเกตว่า Greenbean กำหนดเป้าหมายผู้ใช้ที่อยู่ในเวียดนามและจีน ซึ่งบ่งชี้ถึงการมุ่งเน้นทางภูมิศาสตร์ไปยังภูมิภาคเหล่านี้

โทรจัน Greenbean Banking อาจประนีประนอมข้อมูลผู้ใช้ที่ละเอียดอ่อน

Greenbean ก็เหมือนกับโทรจันอื่นๆ ที่มุ่งเป้าไปที่อุปกรณ์ Android โดยใช้ประโยชน์จากความสามารถของบริการการเข้าถึงของ Android ซึ่งในตอนแรกได้รับการออกแบบมาเพื่อปรับปรุงการโต้ตอบของผู้ใช้สำหรับบุคคลที่มีความต้องการเฉพาะ บริการเหล่านี้มอบฟังก์ชันบิดเบือนต่างๆ ให้กับโทรจัน เช่น การอ่านหน้าจอ การจำลองหน้าจอสัมผัสและคีย์บอร์ด การโต้ตอบกับกล่องโต้ตอบ และการล็อค/ปลดล็อคอุปกรณ์ ดังนั้นเมื่อมีการใช้บริการเหล่านี้ในทางที่ผิด โทรจันเช่น Greenbean จึงสามารถใช้ประโยชน์จากความสามารถของตนได้อย่างเต็มที่

เมื่อมีการแทรกซึม Greenbean จะแจ้งให้ผู้ใช้ให้สิทธิ์การเข้าถึง เมื่อได้รับมัลแวร์ก็จะยกระดับสิทธิ์ของมัน จากนั้นโทรจันจะเริ่มต้นการรวบรวมข้อมูล รวมถึงข้อมูลอุปกรณ์และเครือข่าย รายการแอปพลิเคชันที่ติดตั้ง รายชื่อผู้ติดต่อ ข้อมูล SMS และอื่นๆ

Greenbean ขยายฟังก์ชันการทำงานโดยการดาวน์โหลดไฟล์และรูปภาพ และแยกเนื้อหาออกจากคลิปบอร์ด แม้ว่าจะสามารถส่ง SMS ได้ แต่โทรจันยังไม่พบว่ามีส่วนร่วมในการฉ้อโกงค่าผ่านทางตามข้อมูลปัจจุบัน นอกจากนี้ Greenbean ยังแนะนำฟีเจอร์ใหม่ด้วยการจับภาพหน้าจอ สตรีมหน้าจอของอุปกรณ์ที่ติดไวรัส และดูจากกล้องของมัน

วัตถุประสงค์หลักของ Greenbean คือการเก็บเกี่ยวข้อมูลส่วนบุคคล ข้อมูลการเข้าสู่ระบบ และข้อมูลทางการเงินจากเหยื่อ โดยกำหนดเป้าหมายไปที่แอปพลิเคชันต่างๆ เช่น Gmail, WeChat, AliPay, MyVIB, MetaMask และ Paybis โดยเฉพาะ โดยเฉพาะอย่างยิ่ง Greenbean สามารถจัดการธุรกรรมทางการเงินขาออกโดยการเปลี่ยนแปลงรายละเอียดผู้รับ และอาจเริ่มต้นการทำธุรกรรมโดยไม่ต้องป้อนข้อมูลของเหยื่อ

เวกเตอร์การติดเชื้อที่ใช้ในการติดตั้งโทรจัน Greenbean Banking

Greenbean ได้รับการระบุในการเผยแพร่ผ่านทางเว็บไซต์ antlercrypto (dot) com ซึ่งส่งเสริมแอปพลิเคชัน cryptocurrency ที่มีแนวโน้มการจ่ายเงินจำนวนมาก ผู้ใช้ที่เลือกใช้คุณสมบัติการดาวน์โหลดบนไซต์นี้จะทำให้เกิดการดาวน์โหลดไฟล์ชื่อ 'AntlerWeath.apk' จากโดเมนที่โฮสต์บน Amazon AWS สิ่งสำคัญคือต้องรับรู้ว่าโดเมนทางเลือก ชื่อไฟล์ หรือวิธีการเผยแพร่อาจถูกนำมาใช้เพื่อแพร่ขยายมัลแวร์เฉพาะนี้

โดยทั่วไปแล้ว มัลแวร์แพร่กระจายผ่านเทคนิคฟิชชิ่งและวิศวกรรมสังคม ซึ่งมักจะปลอมแปลงหรือรวมเข้ากับโปรแกรมหรือไฟล์สื่อที่ดูเหมือนธรรมดา วิธีการเผยแพร่ที่แพร่หลายที่สุดประกอบด้วยกลยุทธ์ออนไลน์ การดาวน์โหลดแบบไดรฟ์โดยรอบคอบ แหล่งดาวน์โหลดที่ไม่น่าเชื่อถือ เช่น ฟรีแวร์และไซต์โฮสต์ไฟล์ฟรี เครือข่ายการแชร์แบบ Peer-to-Peer และร้านค้าแอปบุคคลที่สาม ไฟล์แนบหรือลิงก์ที่เป็นการฉ้อโกงในข้อความสแปม (อีเมล, DM/PM, SMS, โซเชียลมีเดีย/โพสต์ในฟอรัม), การโฆษณามัลแวร์, ซอฟต์แวร์หรือสื่อละเมิดลิขสิทธิ์, เครื่องมือเปิดใช้งานโปรแกรมที่ผิดกฎหมาย (รู้จักกันทั่วไปในชื่อ 'แคร็ก') และการอัปเดตปลอม ล้วนเป็นพาหะที่พบบ่อยเช่นกัน

เป็นที่น่าสังเกตว่านักพัฒนามัลแวร์อาจใช้ประโยชน์จากช่องทางการดาวน์โหลดที่ถูกต้อง เช่น Google Play Store เพื่อเผยแพร่ผลงานสร้างสรรค์ของพวกเขา แม้ว่าแพลตฟอร์มจริงจะมีมาตรการเพื่อต่อต้านการละเมิดดังกล่าว แต่ก็เป็นอุปสรรคต่อการมีเนื้อหาที่ไม่ปลอดภัยให้มีอายุยืนยาว แม้แต่เวลาโฮสต์สั้นๆ บนแพลตฟอร์มเหล่านี้ก็ถือว่าสร้างกำไรให้กับผู้ที่เกี่ยวข้องกับการฉ้อโกงได้