Greenbean Banking Trojan retter seg mot Android-brukere
Greenbean, identifisert som en banktrojaner, er spesifikt rettet mot Android-operativsystemer og har eksistert siden minst 2023. Denne ondsinnede programvaren er utviklet for å fokusere på innhenting av bank- og finansrelatert informasjon, med indikasjoner som tyder på at den primært fokuserer på brukere i Vietnam og Kina.
I likhet med mange trojanere som retter seg mot Android-enheter, utnytter Greenbean Android Accessibility Services, som er ment å hjelpe brukere med å samhandle med enhetene deres. Disse tjenestene har muligheten til å manipulere ulike aspekter ved enheten, for eksempel å lese skjermen, simulere berøringsskjerm- og tastaturhandlinger, samhandle med dialogbokser og låse/låse opp enheten. Utnyttelse av disse tjenestene gir fulle muligheter til programmer som Greenbean.
Ved infiltrasjon ber Greenbean brukeren om å gi tilgangstillatelser. Når disse tillatelsene er oppnådd, hever trojaneren sine privilegier og starter innsamlingen av relevant informasjon, inkludert enhets- og nettverksdata, installerte applikasjoner, kontaktlister og SMS-data.
Greenbean viser muligheten til å laste ned filer og bilder, samt trekke ut innhold fra utklippstavlen. Selv om den kan sende SMS-meldinger, har den ikke vært ansatt for Toll Fraud i skrivende stund.
I tillegg har trojaneren muligheten til å ta skjermbilder og kan spesielt streame den infiserte enhetens skjerm og utsikten fra telefonens kameraer.
Hovedmålet med denne skadevare er å skaffe personlig identifiserbar informasjon, påloggingsinformasjon og økonomiske data fra ofre. Den retter seg spesielt mot applikasjoner som Gmail, WeChat, AliPay, MyVIB, MetaMask og Paybis. Greenbean kan omdirigere utgående pengetransaksjoner ved å endre mottakerdetaljer, og i noen tilfeller kan den starte disse transaksjonene uten ofrenes innspill.
Hvordan distribueres ondsinnede Android-apper vanligvis?
Ondsinnede Android-apper distribueres vanligvis gjennom ulike metoder, og utnytter ofte villedende taktikker for å lure brukere til å installere dem. Noen vanlige distribusjonsmetoder inkluderer:
Tredjeparts appbutikker: Ondsinnede apper kan være vert for tredjeparts appbutikker utenfor den offisielle Google Play-butikken. Brukere kan bli bedt om å laste ned apper fra disse uoffisielle kildene, noe som øker risikoen for å møte skadelig programvare.
Phishing-nettsteder: Nettkriminelle lager falske nettsteder eller annonser som etterligner legitime appnedlastingssider. Intetanende brukere kan bli henvist til disse phishing-nettstedene og ubevisst laste ned ondsinnede apper.
Malvertising: Ondsinnet reklame, eller malvertising, innebærer å plassere skadelig kode i nettannonser. Å klikke på disse annonsene eller besøke kompromitterte nettsteder kan føre til automatisk nedlasting og installasjon av skadelige apper.
E-post og meldinger: Skadelige apper kan distribueres gjennom phishing-e-poster eller meldinger som inneholder lenker for å laste ned infiserte applikasjoner. Disse meldingene bruker ofte sosiale ingeniørteknikker for å lure brukere til å klikke på de oppgitte koblingene.
SMS og MMS: Noe skadelig programvare distribueres via tekstmeldinger eller multimediemeldinger som inneholder lenker for å laste ned skadelige apper. Denne metoden, kjent som "smishing", har som mål å lure brukere til å installere skadelige applikasjoner.
Falske systemoppdateringer: Nettkriminelle kan lage falske systemoppdateringsvarsler som ber brukere om å laste ned og installere oppdateringer utenfor de offisielle kanalene. Disse falske oppdateringene inneholder ofte skadelig programvare.
Infiserte nettsteder: Å besøke kompromitterte nettsteder eller klikke på skadelige lenker kan føre til automatisk nedlasting av skadelige apper. Drive-by-nedlastinger skjer når skadelig programvare lastes ned uten brukerens viten under besøket til et kompromittert nettsted.