Greenbean Bankacılık Truva Atı

Greenbean, siber güvenlik uzmanları tarafından özellikle Android işletim sistemlerine sızmak için tasarlanmış bir bankacılık Truva Atı olarak tanımlanıyor. En az 2023'ten beri var olduğu bilinen bu tehdit edici yazılım, öncelikle finansal bilgileri ve bankacılıkla ilgili diğer verileri çıkarmaya yöneliktir. Özellikle Greenbean'in Vietnam ve Çin'de bulunan kullanıcıları hedeflediği gözlemlendi, bu da bu bölgelere coğrafi olarak odaklanıldığını gösteriyor.

Greenbean Bankacılık Truva Atı Hassas Kullanıcı Bilgilerini Ele Geçirebilir

Greenbean, Android cihazlarını hedef alan birçok Truva atı gibi, başlangıçta belirli ihtiyaçları olan kişiler için kullanıcı etkileşimini geliştirmek üzere tasarlanan Android Erişilebilirlik Hizmetlerinin yeteneklerinden yararlanıyor. Bu hizmetler, truva atına ekran okuma, dokunmatik ekran ve klavye simülasyonu, diyalog kutularıyla etkileşim ve cihaz kilitleme/kilidini açma gibi çeşitli manipülasyon işlevleri sağlar. Sonuç olarak, bu hizmetler kötüye kullanıldığında Greenbean gibi Truva atları yeteneklerini tam olarak kullanabilir.

Greenbean, sızmanın ardından kullanıcılardan Erişilebilirlik izinleri vermelerini ister; Kötü amaçlı yazılım bunları aldıktan sonra ayrıcalıklarını yükseltir. Ardından truva atı, cihaz ve ağ bilgilerini, yüklü uygulamaların listesini, kişi listelerini, SMS verilerini ve daha fazlasını kapsayan veri toplamayı başlatır.

Greenbean, dosyaları ve görüntüleri indirerek ve panodan içerik çıkararak işlevlerini genişletir. Trojanın SMS gönderme yeteneğine sahip olmasına rağmen mevcut bilgiler itibarıyla Ücretli Dolandırıcılık yaptığı gözlemlenmemiştir. Ayrıca Greenbean, ekran görüntüleri alarak, virüslü cihazın ekranını yayınlayarak ve kameralarından görüntüleyerek yeni bir özellik sunuyor.

Greenbean'in temel amacı kurbanlarından kişisel olarak tanımlanabilir bilgileri, oturum açma bilgilerini ve finansal verileri toplamaktır. Özellikle Gmail, WeChat, AliPay, MyVIB, MetaMask ve Paybis gibi uygulamaları hedefliyor. Özellikle Greenbean, alıcının ayrıntılarını değiştirerek yapılan parasal işlemleri manipüle edebiliyor ve hatta kurbanların girişi olmadan işlemleri başlatabiliyor.

Greenbean Bankacılık Truva Atını Yaymak İçin Kullanılan Enfeksiyon Vektörleri

Greenbean'in, önemli ödemeler vaat eden bir kripto para birimi uygulamasını tanıtan antlercrypto(dot)com adlı bir web sitesi aracılığıyla dağıtıldığı belirlendi. Bu sitedeki indirme özelliğini tercih eden kullanıcılar, Amazon AWS'de barındırılan bir alan adından 'AntlerWeath.apk' adlı bir dosyanın indirilmesini tetikler. Bu özel kötü amaçlı yazılımın yayılması için alternatif etki alanlarının, dosya adlarının veya dağıtım yöntemlerinin de kullanılabileceğini bilmek önemlidir.

Tipik olarak, kötü amaçlı yazılımlar kimlik avı ve sosyal mühendislik teknikleri yoluyla yayılır ve genellikle görünüşte sıradan programlar veya medya dosyaları olarak gizlenir veya bunlarla birlikte paketlenir. En yaygın dağıtım yöntemleri çevrimiçi taktikleri, gizlice yapılan indirmeleri, ücretsiz yazılım ve ücretsiz dosya barındırma siteleri gibi güvenilmez indirme kaynaklarını, Eşler Arası paylaşım ağlarını ve üçüncü taraf uygulama mağazalarını kapsar. Spam mesajlardaki sahte ekler veya bağlantılar (e-postalar, DM'ler/ÖM'ler, SMS'ler, sosyal medya/forum gönderileri), kötü amaçlı reklamcılık, korsan yazılım veya medya, yasa dışı program etkinleştirme araçları (genellikle 'çatlaklar' olarak bilinir) ve sahte güncellemeler de yaygın vektörlerdir.

Kötü amaçlı yazılım geliştiricilerinin, yarattıklarını yaymak için Google Play Store gibi meşru indirme kanallarından yararlanabileceklerini belirtmekte fayda var. Orijinal platformlarda bu tür suiistimallere karşı önlem alınmış ve bu sayede güvenli olmayan içeriğin uzun ömürlülüğü engellenmiş olsa da, bu platformlarda kısa süreli barındırma süresi bile dolandırıcılıkla ilgili aktörler için kazançlı sayılabilir.