Trojan bankowy Greenbean atakuje użytkowników Androida
Greenbean, zidentyfikowany jako trojan bankowy, atakuje w szczególności systemy operacyjne Android i istnieje co najmniej od 2023 r. To złośliwe oprogramowanie zostało zaprojektowane tak, aby skupiać się na pozyskiwaniu informacji związanych z bankowością i finansami, przy czym wskazania sugerują, że koncentruje się głównie na użytkownikach w Wietnamie i Chiny.
Podobnie jak wiele trojanów atakujących urządzenia z systemem Android, Greenbean wykorzystuje usługi ułatwień dostępu systemu Android, których zadaniem jest pomaganie użytkownikom w interakcji z urządzeniami. Usługi te umożliwiają manipulowanie różnymi aspektami urządzenia, takimi jak czytanie ekranu, symulowanie działań na ekranie dotykowym i klawiaturze, interakcja z oknami dialogowymi oraz blokowanie/odblokowywanie urządzenia. Korzystanie z tych usług zapewnia pełne możliwości programom takim jak Greenbean.
Po infiltracji Greenbean monituje użytkownika o przyznanie uprawnień dostępności. Po uzyskaniu tych uprawnień trojan podnosi swoje uprawnienia i inicjuje zbieranie istotnych informacji, w tym danych urządzenia i sieci, zainstalowanych aplikacji, list kontaktów i danych SMS.
Greenbean wykazuje możliwość pobierania plików i obrazów, a także wydobywania treści ze schowka. Chociaż może wysyłać wiadomości SMS, w chwili obecnej nie jest wykorzystywany do oszustw związanych z opłatami drogowymi.
Ponadto trojan potrafi przechwytywać zrzuty ekranu, a w szczególności może przesyłać strumieniowo ekran zainfekowanego urządzenia oraz obraz z kamer telefonu.
Głównym celem tego szkodliwego oprogramowania jest uzyskanie od ofiar danych osobowych, danych logowania i danych finansowych. Jego celem są w szczególności aplikacje takie jak Gmail, WeChat, AliPay, MyVIB, MetaMask i Paybis. Greenbean może przekierowywać wychodzące transakcje pieniężne, zmieniając dane odbiorcy, a w niektórych przypadkach może inicjować te transakcje bez udziału ofiary.
W jaki sposób zazwyczaj dystrybuowane są złośliwe aplikacje na Androida?
Złośliwe aplikacje na Androida są zazwyczaj dystrybuowane różnymi metodami, często wykorzystując zwodnicze taktyki, aby nakłonić użytkowników do ich zainstalowania. Niektóre typowe metody dystrybucji obejmują:
Sklepy z aplikacjami innych firm: złośliwe aplikacje mogą być hostowane w sklepach z aplikacjami innych firm poza oficjalnym sklepem Google Play. Użytkownicy mogą zostać poproszeni o pobranie aplikacji z tych nieoficjalnych źródeł, co zwiększa ryzyko natknięcia się na złośliwe oprogramowanie.
Witryny phishingowe: Cyberprzestępcy tworzą fałszywe witryny lub reklamy imitujące legalne strony pobierania aplikacji. Niczego niepodejrzewający użytkownicy mogą zostać przekierowani na te witryny phishingowe i nieświadomie pobrać złośliwe aplikacje.
Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na umieszczaniu szkodliwego kodu w reklamach internetowych. Kliknięcie tych reklam lub odwiedzenie zainfekowanych witryn może spowodować automatyczne pobranie i instalację złośliwych aplikacji.
E-mail i wiadomości: złośliwe aplikacje mogą być dystrybuowane za pośrednictwem wiadomości e-mail lub wiadomości phishingowych zawierających łącza umożliwiające pobranie zainfekowanych aplikacji. W wiadomościach tych często wykorzystywane są techniki inżynierii społecznej, aby nakłonić użytkowników do kliknięcia podanych linków.
SMS i MMS: niektóre złośliwe oprogramowanie jest dystrybuowane za pośrednictwem wiadomości tekstowych lub multimedialnych zawierających łącza umożliwiające pobranie złośliwych aplikacji. Metoda ta, znana jako „smishing”, ma na celu oszukanie użytkowników w celu zainstalowania szkodliwych aplikacji.
Fałszywe aktualizacje systemu: Cyberprzestępcy mogą tworzyć fałszywe powiadomienia o aktualizacjach systemu, które zachęcają użytkowników do pobrania i zainstalowania aktualizacji poza oficjalnymi kanałami. Te fałszywe aktualizacje często zawierają złośliwe oprogramowanie.
Zainfekowane strony internetowe: odwiedzanie zainfekowanych witryn lub klikanie złośliwych łączy może prowadzić do automatycznego pobierania szkodliwych aplikacji. Pobieranie typu drive-by ma miejsce, gdy złośliwe oprogramowanie zostaje pobrane bez wiedzy użytkownika podczas wizyty na zaatakowanej witrynie.
