Trojan ngân hàng Greenbean

Greenbean được các chuyên gia an ninh mạng xác định là một Trojan ngân hàng, được chế tạo đặc biệt để xâm nhập vào hệ điều hành Android. Phần mềm đe dọa này, được biết là đã tồn tại ít nhất từ năm 2023, chủ yếu hướng tới việc trích xuất thông tin tài chính và các dữ liệu khác liên quan đến ngân hàng. Đáng chú ý, Greenbean đã được quan sát thấy nhắm mục tiêu vào người dùng ở Việt Nam và Trung Quốc, cho thấy sự tập trung về mặt địa lý vào các khu vực này.

Trojan ngân hàng Greenbean có thể xâm phạm thông tin nhạy cảm của người dùng

Greenbean, giống như nhiều Trojan nhắm mục tiêu vào thiết bị Android, khai thác các khả năng của Dịch vụ trợ năng Android, ban đầu được thiết kế để nâng cao khả năng tương tác của người dùng đối với những cá nhân có nhu cầu cụ thể. Các dịch vụ này cung cấp cho trojan nhiều chức năng thao túng khác nhau, chẳng hạn như đọc màn hình, mô phỏng màn hình cảm ứng và bàn phím, tương tác với hộp thoại và khóa/mở khóa thiết bị. Do đó, khi các dịch vụ này bị lạm dụng, các Trojan như Greenbean có thể tận dụng tối đa khả năng của chúng.

Khi xâm nhập, Greenbean sẽ nhắc người dùng cấp quyền Trợ năng; khi nhận được chúng, phần mềm độc hại sẽ nâng cao đặc quyền của nó. Sau đó, trojan bắt đầu thu thập dữ liệu, bao gồm thông tin về thiết bị và mạng, danh sách các ứng dụng đã cài đặt, danh sách liên hệ, dữ liệu SMS, v.v.

Greenbean mở rộng chức năng của mình bằng cách tải xuống các tệp và hình ảnh cũng như trích xuất nội dung từ bảng ghi tạm. Mặc dù có khả năng gửi SMS nhưng theo thông tin hiện tại, trojan này chưa được quan sát thấy có liên quan đến Lừa đảo thu phí. Hơn nữa, Greenbean còn giới thiệu một tính năng mới bằng cách chụp ảnh màn hình, phát trực tuyến màn hình của thiết bị bị nhiễm và xem từ camera của thiết bị đó.

Mục tiêu chính của Greenbean là thu thập thông tin nhận dạng cá nhân, thông tin đăng nhập và dữ liệu tài chính từ nạn nhân. Nó đặc biệt nhắm mục tiêu vào các ứng dụng như Gmail, WeChat, AliPay, MyVIB, MetaMask và Paybis. Đáng chú ý, Greenbean có thể thao túng các giao dịch tiền tệ gửi đi bằng cách thay đổi thông tin chi tiết về người nhận và thậm chí có thể bắt đầu giao dịch mà không cần sự tham gia của nạn nhân.

Các vectơ lây nhiễm được sử dụng để triển khai Trojan ngân hàng Greenbean

Greenbean đã được xác định đang phân phối thông qua một trang web, antlercrypto(dot)com, trang này quảng bá một ứng dụng tiền điện tử hứa hẹn các khoản thanh toán đáng kể. Người dùng chọn tính năng tải xuống trên trang web này sẽ kích hoạt tải xuống tệp có tên 'AntlerWeath.apk' từ miền được lưu trữ trên Amazon AWS. Điều quan trọng là phải nhận ra rằng các tên miền, tên tệp hoặc phương pháp phổ biến thay thế cũng có thể được sử dụng để phát triển phần mềm độc hại cụ thể này.

Thông thường, phần mềm độc hại lây lan thông qua các kỹ thuật lừa đảo và kỹ thuật xã hội, thường giả dạng hoặc đóng gói với các chương trình hoặc tệp phương tiện có vẻ bình thường. Các phương thức phân phối phổ biến nhất bao gồm các chiến thuật trực tuyến, tải xuống theo từng ổ đĩa một cách kín đáo, các nguồn tải xuống không đáng tin cậy như phần mềm miễn phí và các trang web lưu trữ tệp miễn phí, mạng chia sẻ ngang hàng và cửa hàng ứng dụng của bên thứ ba. Các tệp đính kèm hoặc liên kết lừa đảo trong tin nhắn rác (email, DM/PM, SMS, mạng xã hội/bài đăng trên diễn đàn), quảng cáo độc hại, phần mềm hoặc phương tiện vi phạm bản quyền, các công cụ kích hoạt chương trình bất hợp pháp (thường được gọi là 'bẻ khóa') và các bản cập nhật giả mạo cũng là những vectơ phổ biến.

Điều đáng chú ý là các nhà phát triển phần mềm độc hại có thể khai thác các kênh tải xuống hợp pháp như Cửa hàng Google Play để phổ biến các sản phẩm sáng tạo của họ. Mặc dù các nền tảng xác thực có sẵn các biện pháp để chống lại sự lạm dụng đó, do đó cản trở thời gian tồn tại của nội dung không an toàn, ngay cả thời gian lưu trữ ngắn ngủi trên các nền tảng này cũng có thể được coi là sinh lợi cho những kẻ liên quan đến lừa đảo.