Greenbean バンキング型トロイの木馬、Android ユーザーを狙う
バンキング型トロイの木馬として特定された Greenbean は、特に Android オペレーティング システムをターゲットにしており、少なくとも 2023 年から存在しています。この悪意のあるソフトウェアは、銀行および金融関連の情報を取得することに焦点を当てて設計されており、主にベトナムとベトナムのユーザーに焦点を当てていることを示唆する兆候があります。中国。
Android デバイスをターゲットとする多くのトロイの木馬と同様に、Greenbean はユーザーのデバイス操作を支援することを目的とした Android アクセシビリティ サービスを悪用します。これらのサービスには、画面の読み取り、タッチスクリーンとキーボード操作のシミュレート、ダイアログ ボックスとの対話、デバイスのロック/ロック解除など、デバイスのさまざまな側面を操作する機能があります。これらのサービスを利用すると、Greenbean などのプログラムにすべての機能が付与されます。
侵入すると、Greenbean はユーザーにアクセシビリティ権限を付与するよう求めます。これらの許可を取得すると、トロイの木馬はその権限を昇格させ、デバイスとネットワークのデータ、インストールされているアプリケーション、連絡先リスト、SMS データなどの関連情報の収集を開始します。
Greenbean は、ファイルや画像をダウンロードしたり、クリップボードからコンテンツを抽出したりする機能を備えています。 SMS メッセージを送信できますが、現時点では電話料金詐欺には使用されていません。
さらに、このトロイの木馬はスクリーンショットをキャプチャする機能を備えており、特に感染したデバイスの画面と携帯電話のカメラからのビューをストリーミングできます。
このマルウェアの主な目的は、被害者から個人を特定できる情報、ログイン資格情報、財務データを取得することです。具体的には、Gmail、WeChat、AliPay、MyVIB、MetaMask、Paybis などのアプリケーションをターゲットとしています。 Greenbean は、受信者の詳細を変更することで送金取引をリダイレクトすることができ、場合によっては、被害者の入力なしにこれらの取引を開始する可能性があります。
Android の悪意のあるアプリは通常どのように配布されますか?
Android の悪意のあるアプリは通常、さまざまな方法で配布され、多くの場合、ユーザーをだましてアプリをインストールさせる欺瞞的な戦術が利用されます。一般的な配布方法には次のようなものがあります。
サードパーティのアプリ ストア:悪意のあるアプリは、公式の Google Play ストア以外のサードパーティのアプリ ストアでホストされている可能性があります。ユーザーは、これらの非公式のソースからアプリをダウンロードするよう求められる場合があり、マルウェアに遭遇するリスクが高まります。
フィッシング Web サイト:サイバー犯罪者は、正規のアプリのダウンロード ページを模倣した偽の Web サイトや広告を作成します。何も知らないユーザーがこれらのフィッシング サイトに誘導され、知らず知らずのうちに悪意のあるアプリをダウンロードしてしまう可能性があります。
マルバタイジング:悪意のある広告、またはマルバタイジングには、オンライン広告内に有害なコードを配置することが含まれます。これらの広告をクリックしたり、侵害された Web サイトにアクセスすると、悪意のあるアプリが自動的にダウンロードされ、インストールされる可能性があります。
電子メールとメッセージング:悪意のあるアプリは、感染したアプリケーションをダウンロードするリンクを含むフィッシングメールやメッセージを通じて配布される可能性があります。これらのメッセージは多くの場合、ソーシャル エンジニアリング技術を使用して、ユーザーをだまして提供されたリンクをクリックさせます。
SMS および MMS:一部のマルウェアは、悪意のあるアプリをダウンロードするリンクを含むテキスト メッセージまたはマルチメディア メッセージを介して配布されます。 「スミッシング」として知られるこの手法は、ユーザーをだまして有害なアプリケーションをインストールさせることを目的としています。
偽のシステム アップデート:サイバー犯罪者は、ユーザーに公式チャネル以外でアップデートをダウンロードしてインストールするよう促す偽のシステム アップデート通知を作成する可能性があります。これらの偽のアップデートにはマルウェアが含まれていることがよくあります。
感染した Web サイト:侵害された Web サイトにアクセスしたり、悪意のあるリンクをクリックすると、有害なアプリが自動的にダウンロードされる可能性があります。ドライブバイ ダウンロードは、侵害されたサイトへのアクセス中にユーザーが知らないうちにマルウェアがダウンロードされるときに発生します。