A Greenbean Banking Trojan az Android felhasználókat célozza meg
A banki trójaiként azonosított Greenbean kifejezetten az Android operációs rendszereket célozza meg, és legalább 2023 óta létezik. Ezt a rosszindulatú szoftvert úgy tervezték, hogy banki és pénzügyekkel kapcsolatos információk megszerzésére összpontosítson, és a jelek arra utalnak, hogy elsődlegesen a vietnami és Kína.
Sok Android-eszközöket célzó trójaihoz hasonlóan a Greenbean is kihasználja az Android Accessibility Services szolgáltatásait, amelyek célja, hogy segítsék a felhasználókat az eszközeikkel való interakcióban. Ezek a szolgáltatások képesek az eszköz különféle aspektusainak manipulálására, például a képernyő olvasására, az érintőképernyő és a billentyűzet műveleteinek szimulálására, a párbeszédpanelekkel való interakcióra, valamint az eszköz zárolására/feloldására. Ezeknek a szolgáltatásoknak a kihasználása teljes képességeket biztosít az olyan programok számára, mint a Greenbean.
A behatoláskor a Greenbean felkéri a felhasználót, hogy adjon kisegítő lehetőségeket. Az engedélyek megszerzése után a trójai megnöveli jogosultságait, és megkezdi a vonatkozó információk gyűjtését, beleértve az eszköz- és hálózati adatokat, a telepített alkalmazásokat, a névjegyzékeket és az SMS-adatokat.
A Greenbean képes fájlokat és képeket letölteni, valamint tartalmat kivonni a vágólapról. Bár képes SMS-üzeneteket küldeni, a jelenlegi írásban nem használták a Toll Fraud számára.
Ezenkívül a trójai képes képernyőképeket készíteni, és különösen képes streamelni a fertőzött eszköz képernyőjét és a telefon kameráiból származó nézetet.
Ennek a rosszindulatú programnak az elsődleges célja személyazonosításra alkalmas adatok, bejelentkezési adatok és pénzügyi adatok beszerzése az áldozatoktól. Kifejezetten olyan alkalmazásokat céloz meg, mint a Gmail, WeChat, AliPay, MyVIB, MetaMask és Paybis. A Greenbean átirányíthatja a kimenő pénzügyi tranzakciókat a vevő adatainak megváltoztatásával, és bizonyos esetekben az áldozatok hozzájárulása nélkül is kezdeményezheti ezeket a tranzakciókat.
Általában hogyan terjesztik az Android rosszindulatú alkalmazásait?
Az Android rosszindulatú alkalmazásait általában különféle módszerekkel terjesztik, gyakran megtévesztő taktikákat alkalmazva, hogy rávegyék a felhasználókat a telepítésükre. Néhány elterjedt terjesztési módszer:
Harmadik féltől származó App Store-ok: A rosszindulatú alkalmazásokat a hivatalos Google Play Áruházon kívül harmadik féltől származó alkalmazásboltok is tárolhatják. A felhasználókat arra kérhetik, hogy töltsenek le alkalmazásokat ezekből a nem hivatalos forrásokból, ami növeli a rosszindulatú programokkal való találkozás kockázatát.
Adathalász webhelyek: A kiberbűnözők hamis webhelyeket vagy hirdetéseket hoznak létre, amelyek legitim alkalmazásletöltő oldalakat utánoznak. A gyanútlan felhasználókat ezekre az adathalász webhelyekre irányíthatják, és tudtukon kívül rosszindulatú alkalmazásokat tölthetnek le.
Rosszindulatú reklámozás: A rosszindulatú reklámozás magában foglalja az ártalmas kód elhelyezését az online hirdetésekben. Ha ezekre a hirdetésekre kattint, vagy feltört webhelyeket keres fel, az rosszindulatú alkalmazások automatikus letöltéséhez és telepítéséhez vezethet.
E-mail és üzenetküldés: A rosszindulatú alkalmazások adathalász e-maileken vagy fertőzött alkalmazások letöltésére mutató hivatkozásokat tartalmazó üzeneteken keresztül terjeszthetők. Ezek az üzenetek gyakran alkalmaznak social engineering technikákat, hogy rávegyék a felhasználókat a megadott linkekre való kattintásra.
SMS és MMS: Egyes rosszindulatú programokat szöveges üzenetek vagy multimédiás üzenetek útján terjesztenek, amelyek rosszindulatú alkalmazások letöltésére mutató hivatkozásokat tartalmaznak. Ez a "smishing" néven ismert módszer célja, hogy a felhasználókat káros alkalmazások telepítésére csalja meg.
Hamis rendszerfrissítések: A kiberbűnözők hamis rendszerfrissítési értesítéseket hozhatnak létre, amelyek arra kérik a felhasználókat, hogy töltsenek le és telepítsenek frissítéseket a hivatalos csatornákon kívül. Ezek a hamis frissítések gyakran tartalmaznak rosszindulatú programokat.
Fertőzött webhelyek: A feltört webhelyek látogatása vagy a rosszindulatú hivatkozásokra való kattintás káros alkalmazások automatikus letöltéséhez vezethet. Drive-by letöltések akkor fordulnak elő, ha egy rosszindulatú programot a felhasználó tudta nélkül töltenek le egy feltört webhely látogatása során.