Троян Greenbean Banking

Експерти з кібербезпеки ідентифікували Greenbean як банківський троян, спеціально створений для проникнення в операційні системи Android. Це загрозливе програмне забезпечення, яке, як відомо, існує принаймні з 2023 року, в основному призначене для отримання фінансової інформації та інших банківських даних. Примітно, що Greenbean орієнтується на користувачів у В’єтнамі та Китаї, що вказує на географічний фокус на цих регіонах.

Троян Greenbean Banking може зламати конфіденційну інформацію користувача

Greenbean, як і багато троянів, націлених на пристрої Android, використовує можливості Android Accessibility Services, які спочатку були розроблені для покращення взаємодії з користувачами для людей із особливими потребами. Ці служби надають трояну різноманітні маніпулятивні функції, такі як зчитування екрана, імітація сенсорного екрана та клавіатури, взаємодія з діалоговими вікнами та блокування/розблокування пристрою. Отже, коли ці служби використовуються неправильно, такі трояни, як Greenbean, можуть повністю використовувати їхні можливості.

Після проникнення Greenbean пропонує користувачам надати дозволи на доступність; отримавши їх, шкідлива програма підвищує свої привілеї. Згодом троян ініціює збір даних, що включають інформацію про пристрій і мережу, список встановлених програм, списки контактів, SMS-дані тощо.

Greenbean розширює свої функції, завантажуючи файли та зображення та витягуючи вміст із буфера обміну. Незважаючи на те, що троян може надсилати SMS, станом на поточну інформацію троян не бере участі в Toll Fraud. Крім того, Greenbean представляє нову функцію: робить знімки екрана, транслює екран зараженого пристрою та переглядає з його камер.

Основна мета Greenbean — отримати особисту інформацію, облікові дані для входу та фінансові дані своїх жертв. Він спеціально націлений на такі програми, як Gmail, WeChat, AliPay, MyVIB, MetaMask і Paybis. Примітно, що Greenbean може маніпулювати вихідними грошовими транзакціями, змінюючи дані отримувача, і навіть може ініціювати транзакції без участі жертв.

Вектори зараження, використані для розгортання трояна Greenbean Banking

Greenbean було виявлено у розповсюдженні через веб-сайт antlercrypto(dot)com, який рекламує програму для криптовалюти, яка обіцяє значні виплати. Користувачі, які вибрали функцію завантаження на цьому сайті, запускають завантаження файлу під назвою «AntlerWeath.apk» із домену, розміщеного на Amazon AWS. Важливо визнати, що альтернативні домени, імена файлів або методи розповсюдження також можуть використовуватися для розповсюдження цього конкретного шкідливого програмного забезпечення.

Як правило, зловмисне програмне забезпечення поширюється за допомогою фішингу та методів соціальної інженерії, часто маскуючись під начебто звичайні програми чи медіафайли або поєднуючись із ними. Найпоширеніші методи розповсюдження охоплюють онлайн-тактику, ненадійні завантаження, ненадійні джерела завантажень, такі як безкоштовне програмне забезпечення та сайти безкоштовного розміщення файлів, однорангові мережі обміну та сторонні магазини програм. Шахрайські вкладення або посилання в спам-повідомленнях (електронні листи, DM/PMs, SMS-повідомлення, повідомлення в соціальних мережах/форумах), шкідлива реклама, піратське програмне забезпечення або засоби масової інформації, нелегальні засоби активації програм (широко відомі як «краки») і підроблені оновлення також є поширеними векторами.

Варто зазначити, що розробники зловмисного програмного забезпечення можуть використовувати законні канали завантаження, такі як Google Play Store, для поширення своїх творінь. Хоча на автентичних платформах передбачено заходи для протидії таким зловживанням, що перешкоджає довгому зберіганню небезпечного вмісту, навіть короткий час розміщення на цих платформах можна вважати прибутковим для суб’єктів, пов’язаних із шахрайством.