Greenbean Banking Trojan riktar sig till Android-användare
Greenbean, identifierad som en banktrojan, riktar sig specifikt till Android-operativsystem och har funnits sedan åtminstone 2023. Denna skadliga programvara är utformad för att fokusera på att skaffa bank- och finansrelaterad information, med indikationer som tyder på dess primära fokus på användare i Vietnam och Kina.
I likhet med många trojaner som riktar sig till Android-enheter, utnyttjar Greenbean Android Accessibility Services, som är avsedda att hjälpa användare att interagera med sina enheter. Dessa tjänster har förmågan att manipulera olika aspekter av enheten, som att läsa skärmen, simulera pekskärms- och tangentbordsåtgärder, interagera med dialogrutor och låsa/låsa upp enheten. Att utnyttja dessa tjänster ger full kapacitet till program som Greenbean.
Vid infiltration uppmanar Greenbean användaren att ge tillgänglighetsbehörigheter. När dessa behörigheter har erhållits höjer trojanen sina privilegier och påbörjar insamlingen av relevant information, inklusive enhets- och nätverksdata, installerade applikationer, kontaktlistor och SMS-data.
Greenbean uppvisar möjligheten att ladda ner filer och bilder, samt extrahera innehåll från urklipp. Även om det kan skicka SMS, har det inte använts för Toll Fraud i skrivande stund.
Dessutom har trojanen förmågan att ta skärmdumpar och kan framför allt strömma den infekterade enhetens skärm och utsikten från telefonens kameror.
Det primära syftet med denna skadliga programvara är att erhålla personlig identifierbar information, inloggningsuppgifter och ekonomisk data från offer. Den riktar sig specifikt till applikationer som Gmail, WeChat, AliPay, MyVIB, MetaMask och Paybis. Greenbean kan omdirigera utgående monetära transaktioner genom att ändra mottagarinformation, och i vissa fall kan den initiera dessa transaktioner utan offrens input.
Hur distribueras skadliga appar för Android vanligtvis?
Android skadliga appar distribueras vanligtvis genom olika metoder, ofta med vilseledande taktik för att lura användare att installera dem. Några vanliga distributionsmetoder inkluderar:
Tredjeparts appbutiker: Skadliga appar kan finnas på tredjepartsappbutiker utanför den officiella Google Play Butik. Användare kan bli uppmanade att ladda ner appar från dessa inofficiella källor, vilket ökar risken för att stöta på skadlig programvara.
Nätfiskewebbplatser: Cyberkriminella skapar falska webbplatser eller annonser som efterliknar legitima appnedladdningssidor. Intet ont anande användare kan hänvisas till dessa nätfiskesidor och omedvetet ladda ner skadliga appar.
Malvertising: Skadlig reklam, eller malvertising, innebär att skadlig kod placeras i onlineannonser. Att klicka på dessa annonser eller besöka intrångade webbplatser kan leda till automatisk nedladdning och installation av skadliga appar.
E-post och meddelanden: Skadliga appar kan distribueras genom nätfiske-e-postmeddelanden eller meddelanden som innehåller länkar för att ladda ner infekterade applikationer. Dessa meddelanden använder ofta social ingenjörsteknik för att lura användare att klicka på de angivna länkarna.
SMS och MMS: Viss skadlig programvara distribueras via textmeddelanden eller multimediameddelanden som innehåller länkar för att ladda ner skadliga appar. Denna metod, känd som "smishing", syftar till att lura användare att installera skadliga applikationer.
Falska systemuppdateringar: Cyberkriminella kan skapa falska systemuppdateringsmeddelanden som uppmanar användare att ladda ner och installera uppdateringar utanför de officiella kanalerna. Dessa falska uppdateringar innehåller ofta skadlig programvara.
Infekterade webbplatser: Att besöka utsatta webbplatser eller klicka på skadliga länkar kan leda till automatisk nedladdning av skadliga appar. Drive-by-nedladdningar sker när skadlig programvara laddas ner utan användarens vetskap under besöket på en utsatt webbplats.