Greenbean Banking Trojan

Ang Greenbean ay kinilala bilang isang banking Trojan ng mga eksperto sa cybersecurity, partikular na ginawa upang makalusot sa mga operating system ng Android. Ang nagbabantang software na ito, na kilala na umiral mula noong hindi bababa sa 2023, ay pangunahing nakatuon sa pagkuha ng impormasyon sa pananalapi at iba pang data na nauugnay sa pagbabangko. Kapansin-pansin, ang Greenbean ay naobserbahang nagta-target ng mga user na matatagpuan sa Vietnam at China, na nagpapahiwatig ng heograpikal na pagtutok sa mga rehiyong ito.

Maaaring Ikompromiso ng Greenbean Banking Trojan ang Sensitibong Impormasyon ng User

Ang Greenbean, tulad ng maraming Trojan na nagta-target sa mga Android device, ay nagsasamantala sa mga kakayahan ng Android Accessibility Services, na unang idinisenyo upang mapahusay ang pakikipag-ugnayan ng user para sa mga indibidwal na may partikular na pangangailangan. Ang mga serbisyong ito ay nagbibigay sa trojan ng iba't ibang manipulative function, tulad ng screen reading, touchscreen at keyboard simulation, pakikipag-ugnayan sa mga dialogue box, at pag-lock/pag-unlock ng device. Dahil dito, kapag ang mga serbisyong ito ay nagamit sa maling paraan, ang mga Trojan tulad ng Greenbean ay maaaring ganap na magamit ang kanilang mga kakayahan.

Sa pagpasok, hinihikayat ng Greenbean ang mga user na magbigay ng mga pahintulot sa Accessibility; sa pagtanggap ng mga ito, itinataas ng malware ang mga pribilehiyo nito. Kasunod nito, sinisimulan ng trojan ang pagkolekta ng data, sumasaklaw sa impormasyon ng device at network, ang listahan ng mga naka-install na application, mga listahan ng contact, data ng SMS at higit pa.

Pinapalawak ng Greenbean ang mga functionality nito sa pamamagitan ng pag-download ng mga file at larawan at pagkuha ng content mula sa clipboard. Bagama't may kakayahang magpadala ng SMS, ang trojan ay hindi naobserbahang nakikipag-ugnayan sa Toll Fraud sa kasalukuyang impormasyon. Higit pa rito, ipinakilala ng Greenbean ang isang nobelang feature sa pamamagitan ng pagkuha ng mga screenshot, pag-stream ng screen ng nahawaang device, at pagtingin mula sa mga camera nito.

Ang pangunahing layunin ng Greenbean ay upang makakuha ng personal na pagkakakilanlan ng impormasyon, mga kredensyal sa pag-log in, at data sa pananalapi mula sa mga biktima nito. Ito ay partikular na nagta-target ng mga application tulad ng Gmail, WeChat, AliPay, MyVIB, MetaMask at Paybis. Kapansin-pansin, maaaring manipulahin ng Greenbean ang mga papalabas na transaksyon sa pananalapi sa pamamagitan ng pagbabago sa mga detalye ng tatanggap at maaari pa ring magsimula ng mga transaksyon nang walang input ng mga biktima.

Mga Infection Vector na Ginamit para I-deploy ang Greenbean Banking Trojan

Natukoy ang Greenbean sa pamamahagi sa pamamagitan ng isang website, antlercrypto(dot)com, na nagpo-promote ng isang cryptocurrency application na nangangako ng malaking payout. Ang mga user na nag-opt para sa feature na pag-download sa site na ito ay nagti-trigger ng pag-download ng file na pinangalanang 'AntlerWeath.apk' mula sa isang domain na naka-host sa Amazon AWS. Mahalagang kilalanin na ang mga alternatibong domain, filename, o paraan ng pagpapakalat ay maaari ding gamitin upang palaganapin ang partikular na malware na ito.

Kadalasan, ang malware ay kumakalat sa pamamagitan ng phishing at social engineering techniques, kadalasang nagpapanggap bilang o nagsasama sa tila ordinaryong mga programa o media file. Ang pinakakaraniwang paraan ng pamamahagi ay sumasaklaw sa mga online na taktika, maingat na pag-download, hindi mapagkakatiwalaang mga mapagkukunan ng pag-download tulad ng freeware at mga libreng file-hosting site, mga network ng pagbabahagi ng Peer-to-Peer at mga tindahan ng app ng third-party. Ang mga mapanlinlang na attachment o link sa mga mensaheng spam (mga email, DM/PM, SMS, social media/forum post), malvertising, pirated software o media, mga tool sa pag-activate ng ilegal na programa (karaniwang kilala bilang 'mga basag') at mga pekeng update ay mga karaniwang vectors din.

Kapansin-pansin na maaaring samantalahin ng mga developer ng malware ang mga lehitimong channel sa pag-download tulad ng Google Play Store upang ipalaganap ang kanilang mga nilikha. Bagama't ang mga tunay na platform ay may mga hakbang upang labanan ang naturang pang-aabuso, sa gayon ay humahadlang sa mahabang buhay ng hindi ligtas na nilalaman, kahit na ang maikling oras ng pagho-host sa mga platform na ito ay maaaring ituring na kumikita para sa mga aktor na nauugnay sa panloloko.