Trojan bancário Greenbean tem como alvo usuários do Android

O Greenbean, identificado como um trojan bancário, tem como alvo específico os sistemas operacionais Android e existe desde pelo menos 2023. Este software malicioso foi projetado para se concentrar na aquisição de informações bancárias e financeiras, com indicações sugerindo que seu foco principal é em usuários no Vietnã e China.

Semelhante a muitos trojans direcionados a dispositivos Android, o Greenbean explora os Android Accessibility Services, que têm como objetivo ajudar os usuários a interagir com seus dispositivos. Esses serviços têm a capacidade de manipular diversos aspectos do dispositivo, como leitura da tela, simulação de ações da tela sensível ao toque e do teclado, interação com caixas de diálogo e bloqueio/desbloqueio do dispositivo. A exploração desses serviços concede capacidades completas a programas como o Greenbean.

Após a infiltração, o Greenbean solicita ao usuário que conceda permissões de acessibilidade. Uma vez obtidas essas permissões, o trojan eleva seus privilégios e inicia a coleta de informações pertinentes, incluindo dados de dispositivos e de rede, aplicativos instalados, listas de contatos e dados de SMS.

Greenbean apresenta a capacidade de baixar arquivos e imagens, bem como extrair conteúdo da área de transferência. Embora possa enviar mensagens SMS, não foi empregado para fraude de tarifação até o momento.

Além disso, o trojan possui a capacidade de capturar capturas de tela e, principalmente, pode transmitir a tela do dispositivo infectado e a visualização das câmeras do telefone.

O objetivo principal deste malware é obter informações de identificação pessoal, credenciais de login e dados financeiros das vítimas. Ele visa especificamente aplicativos como Gmail, WeChat, AliPay, MyVIB, MetaMask e Paybis. Greenbean pode redirecionar as transações monetárias de saída, alterando os detalhes do destinatário e, em alguns casos, pode iniciar essas transações sem a contribuição das vítimas.

Como os aplicativos maliciosos para Android são geralmente distribuídos?

Os aplicativos maliciosos para Android são normalmente distribuídos por vários métodos, muitas vezes aproveitando táticas enganosas para induzir os usuários a instalá-los. Alguns métodos de distribuição comuns incluem:

Lojas de aplicativos de terceiros: aplicativos maliciosos podem ser hospedados em lojas de aplicativos de terceiros fora da Google Play Store oficial. Os usuários podem ser solicitados a baixar aplicativos dessas fontes não oficiais, aumentando o risco de encontrar malware.

Sites de phishing: os cibercriminosos criam sites falsos ou anúncios que imitam páginas legítimas de download de aplicativos. Usuários desavisados podem ser direcionados a esses sites de phishing e baixar aplicativos maliciosos sem saber.

Malvertising: Publicidade maliciosa, ou malvertising, envolve a colocação de código prejudicial em anúncios online. Clicar nesses anúncios ou visitar sites comprometidos pode levar ao download e instalação automáticos de aplicativos maliciosos.

E-mail e mensagens: aplicativos maliciosos podem ser distribuídos por meio de e-mails de phishing ou mensagens contendo links para download de aplicativos infectados. Essas mensagens geralmente usam técnicas de engenharia social para induzir os usuários a clicar nos links fornecidos.

SMS e MMS: alguns malwares são distribuídos por meio de mensagens de texto ou mensagens multimídia contendo links para download de aplicativos maliciosos. Este método, conhecido como "smishing", visa enganar os utilizadores para que instalem aplicações prejudiciais.

Atualizações falsas do sistema: os cibercriminosos podem criar notificações falsas de atualização do sistema que solicitam aos usuários que baixem e instalem atualizações fora dos canais oficiais. Essas atualizações falsas geralmente contêm malware.

Sites infectados: visitar sites comprometidos ou clicar em links maliciosos pode levar ao download automático de aplicativos prejudiciais. Os downloads drive-by ocorrem quando o malware é baixado sem o conhecimento do usuário durante a visita a um site comprometido.