Il trojan bancario Greenbean prende di mira gli utenti Android
Greenbean, identificato come un trojan bancario, prende di mira specificamente i sistemi operativi Android ed esiste almeno dal 2023. Questo software dannoso è progettato per concentrarsi sull'acquisizione di informazioni bancarie e finanziarie, con indicazioni che suggeriscono che il suo focus principale sia sugli utenti in Vietnam e Cina.
Similmente a molti trojan che prendono di mira i dispositivi Android, Greenbean sfrutta i servizi di accessibilità Android, che hanno lo scopo di assistere gli utenti nell'interazione con i propri dispositivi. Questi servizi hanno la capacità di manipolare vari aspetti del dispositivo, come leggere lo schermo, simulare le azioni del touchscreen e della tastiera, interagire con le finestre di dialogo e bloccare/sbloccare il dispositivo. Lo sfruttamento di questi servizi garantisce piene funzionalità a programmi come Greenbean.
Dopo l'infiltrazione, Greenbean richiede all'utente di concedere le autorizzazioni di accessibilità. Una volta ottenute queste autorizzazioni, il trojan eleva i propri privilegi e avvia la raccolta di informazioni pertinenti, inclusi dati del dispositivo e della rete, applicazioni installate, elenchi di contatti e dati SMS.
Greenbean mostra la possibilità di scaricare file e immagini, nonché di estrarre contenuti dagli appunti. Sebbene possa inviare messaggi SMS, al momento della stesura di questo articolo non è stato utilizzato per le frodi tariffarie.
Inoltre, il trojan possiede la capacità di catturare schermate e, in particolare, di trasmettere in streaming lo schermo del dispositivo infetto e la vista dalle fotocamere del telefono.
L'obiettivo principale di questo malware è ottenere informazioni di identificazione personale, credenziali di accesso e dati finanziari dalle vittime. Si rivolge specificamente ad applicazioni come Gmail, WeChat, AliPay, MyVIB, MetaMask e Paybis. Greenbean può reindirizzare le transazioni monetarie in uscita alterando i dettagli del destinatario e, in alcuni casi, può avviare queste transazioni senza l'input delle vittime.
Come vengono solitamente distribuite le app dannose per Android?
Le app dannose per Android vengono generalmente distribuite attraverso vari metodi, spesso sfruttando tattiche ingannevoli per indurre gli utenti a installarle. Alcuni metodi di distribuzione comuni includono:
App Store di terze parti: le app dannose potrebbero essere ospitate su app store di terze parti al di fuori del Google Play Store ufficiale. Agli utenti potrebbe essere richiesto di scaricare app da queste fonti non ufficiali, aumentando il rischio di incontrare malware.
Siti Web di phishing: i criminali informatici creano siti Web o pubblicità falsi che imitano le pagine di download di app legittime. Gli utenti ignari potrebbero essere indirizzati a questi siti di phishing e scaricare inconsapevolmente app dannose.
Malvertising: la pubblicità dannosa, o malvertising, implica l'inserimento di codice dannoso all'interno degli annunci pubblicitari online. Fare clic su questi annunci o visitare siti Web compromessi può portare al download e all'installazione automatica di app dannose.
E-mail e messaggistica: le app dannose possono essere distribuite tramite e-mail di phishing o messaggi contenenti collegamenti per scaricare applicazioni infette. Questi messaggi spesso utilizzano tecniche di ingegneria sociale per indurre gli utenti a fare clic sui collegamenti forniti.
SMS e MMS: alcuni malware vengono distribuiti tramite messaggi di testo o messaggi multimediali contenenti collegamenti per scaricare app dannose. Questo metodo, noto come "smishing", mira a indurre gli utenti a installare applicazioni dannose.
Aggiornamenti di sistema falsi: i criminali informatici possono creare notifiche di aggiornamenti di sistema false che spingono gli utenti a scaricare e installare aggiornamenti al di fuori dei canali ufficiali. Questi falsi aggiornamenti spesso contengono malware.
Siti Web infetti: visitare siti Web compromessi o fare clic su collegamenti dannosi può portare al download automatico di app dannose. I download drive-by si verificano quando il malware viene scaricato all'insaputa dell'utente durante la visita a un sito compromesso.
