Το Greenbean Banking Trojan στοχεύει χρήστες Android

Το Greenbean, που προσδιορίζεται ως τραπεζικό trojan, στοχεύει συγκεκριμένα λειτουργικά συστήματα Android και υπάρχει τουλάχιστον από το 2023. Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί για να εστιάζει στην απόκτηση τραπεζικών και χρηματοοικονομικών πληροφοριών, με ενδείξεις ότι η κύρια εστίασή του σε χρήστες στο Βιετνάμ και Κίνα.

Παρόμοια με πολλούς trojan που στοχεύουν συσκευές Android, η Greenbean εκμεταλλεύεται τις Υπηρεσίες Προσβασιμότητας Android, οι οποίες προορίζονται να βοηθήσουν τους χρήστες να αλληλεπιδρούν με τις συσκευές τους. Αυτές οι υπηρεσίες έχουν τη δυνατότητα να χειρίζονται διάφορες πτυχές της συσκευής, όπως ανάγνωση της οθόνης, προσομοίωση ενεργειών οθόνης αφής και πληκτρολογίου, αλληλεπίδραση με πλαίσια διαλόγου και κλείδωμα/ξεκλείδωμα της συσκευής. Η εκμετάλλευση αυτών των υπηρεσιών παρέχει πλήρεις δυνατότητες σε προγράμματα όπως το Greenbean.

Κατά τη διείσδυση, το Greenbean ζητά από τον χρήστη να εκχωρήσει δικαιώματα Προσβασιμότητας. Μόλις αποκτηθούν αυτά τα δικαιώματα, το trojan αυξάνει τα προνόμιά του και ξεκινά τη συλλογή σχετικών πληροφοριών, συμπεριλαμβανομένων δεδομένων συσκευής και δικτύου, εγκατεστημένων εφαρμογών, λιστών επαφών και δεδομένων SMS.

Το Greenbean παρουσιάζει τη δυνατότητα λήψης αρχείων και εικόνων, καθώς και εξαγωγής περιεχομένου από το πρόχειρο. Παρόλο που μπορεί να στείλει μηνύματα SMS, δεν έχει χρησιμοποιηθεί για την απάτη στα διόδια από την τρέχουσα σύνταξη.

Επιπλέον, το trojan διαθέτει τη δυνατότητα λήψης στιγμιότυπων οθόνης και, κυρίως, μπορεί να μεταδώσει την οθόνη της μολυσμένης συσκευής και την προβολή από τις κάμερες του τηλεφώνου.

Ο πρωταρχικός στόχος αυτού του κακόβουλου λογισμικού είναι να αποκτήσει στοιχεία προσωπικής ταυτοποίησης, διαπιστευτήρια σύνδεσης και οικονομικά δεδομένα από τα θύματα. Στοχεύει συγκεκριμένα εφαρμογές όπως το Gmail, το WeChat, το AliPay, το MyVIB, το MetaMask και το Paybis. Η Greenbean μπορεί να ανακατευθύνει τις εξερχόμενες χρηματικές συναλλαγές αλλάζοντας τα στοιχεία του παραλήπτη και σε ορισμένες περιπτώσεις, μπορεί να ξεκινήσει αυτές τις συναλλαγές χωρίς τη συμβολή των θυμάτων.

Πώς διανέμονται συνήθως οι κακόβουλες εφαρμογές Android;

Οι κακόβουλες εφαρμογές Android συνήθως διανέμονται με διάφορες μεθόδους, συχνά αξιοποιώντας παραπλανητικές τακτικές για να εξαπατήσουν τους χρήστες να τις εγκαταστήσουν. Μερικές κοινές μέθοδοι διανομής περιλαμβάνουν:

Καταστήματα εφαρμογών τρίτων: Κακόβουλες εφαρμογές ενδέχεται να φιλοξενούνται σε καταστήματα εφαρμογών τρίτων εκτός του επίσημου Google Play Store. Ενδέχεται να ζητηθεί από τους χρήστες να κατεβάσουν εφαρμογές από αυτές τις ανεπίσημες πηγές, αυξάνοντας τον κίνδυνο να αντιμετωπίσουν κακόβουλο λογισμικό.

Ιστότοποι phishing: Οι εγκληματίες του κυβερνοχώρου δημιουργούν ψεύτικους ιστότοπους ή διαφημίσεις που μιμούνται νόμιμες σελίδες λήψης εφαρμογών. Ανυποψίαστοι χρήστες μπορεί να κατευθυνθούν σε αυτούς τους ιστότοπους ηλεκτρονικού ψαρέματος και να κατεβάσουν εν αγνοία τους κακόβουλες εφαρμογές.

Κακόβουλη διαφήμιση: Η κακόβουλη διαφήμιση ή κακόβουλη διαφήμιση περιλαμβάνει την τοποθέτηση επιβλαβούς κώδικα σε διαδικτυακές διαφημίσεις. Κάνοντας κλικ σε αυτές τις διαφημίσεις ή επίσκεψη σε παραβιασμένους ιστότοπους μπορεί να οδηγήσει στην αυτόματη λήψη και εγκατάσταση κακόβουλων εφαρμογών.

Email και μηνύματα: Οι κακόβουλες εφαρμογές μπορούν να διανεμηθούν μέσω email ηλεκτρονικού ψαρέματος ή μηνυμάτων που περιέχουν συνδέσμους για τη λήψη μολυσμένων εφαρμογών. Αυτά τα μηνύματα χρησιμοποιούν συχνά τεχνικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κάνουν κλικ στους παρεχόμενους συνδέσμους.

SMS και MMS: Κάποιο κακόβουλο λογισμικό διανέμεται μέσω μηνυμάτων κειμένου ή μηνυμάτων πολυμέσων που περιέχουν συνδέσμους για λήψη κακόβουλων εφαρμογών. Αυτή η μέθοδος, γνωστή ως «smishing», έχει ως στόχο να εξαπατήσει τους χρήστες να εγκαταστήσουν επιβλαβείς εφαρμογές.

Ψεύτικες ενημερώσεις συστήματος: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να δημιουργήσουν ψεύτικες ειδοποιήσεις ενημερώσεων συστήματος που προτρέπουν τους χρήστες να πραγματοποιήσουν λήψη και εγκατάσταση ενημερώσεων εκτός των επίσημων καναλιών. Αυτές οι ψεύτικες ενημερώσεις συχνά περιέχουν κακόβουλο λογισμικό.

Μολυσμένοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ιστότοπους ή το κλικ σε κακόβουλους συνδέσμους μπορεί να οδηγήσει στην αυτόματη λήψη επιβλαβών εφαρμογών. Λήψεις Drive-by πραγματοποιούνται όταν γίνεται λήψη κακόβουλου λογισμικού χωρίς να το γνωρίζει ο χρήστης κατά την επίσκεψη σε έναν παραβιασμένο ιστότοπο.