Greenbean-Banking-Trojaner

Greenbean wird von Cybersicherheitsexperten als Banktrojaner identifiziert, der speziell für die Infiltration von Android-Betriebssystemen entwickelt wurde. Diese bedrohliche Software, von der bekannt ist, dass sie seit mindestens 2023 existiert, ist in erster Linie darauf ausgerichtet, Finanzinformationen und andere bankbezogene Daten zu extrahieren. Insbesondere wurde beobachtet, dass Greenbean auf Benutzer in Vietnam und China abzielte, was auf einen geografischen Fokus auf diese Regionen hindeutet.

Der Banking-Trojaner Greenbean könnte vertrauliche Benutzerinformationen kompromittieren

Greenbean nutzt, wie viele Trojaner, die auf Android-Geräte abzielen, die Funktionen der Android Accessibility Services aus, die ursprünglich dazu gedacht waren, die Benutzerinteraktion für Personen mit besonderen Bedürfnissen zu verbessern. Diese Dienste gewähren dem Trojaner verschiedene manipulative Funktionen, wie z. B. Bildschirmlesen, Touchscreen- und Tastatursimulation, Interaktion mit Dialogfeldern und Sperren/Entsperren von Geräten. Wenn diese Dienste missbraucht werden, können Trojaner wie Greenbean ihre Fähigkeiten voll ausnutzen.

Bei der Infiltration fordert Greenbean Benutzer dazu auf, Zugriffsberechtigungen zu erteilen. Sobald die Malware sie erhält, erhöht sie ihre Privilegien. Anschließend initiiert der Trojaner die Datenerfassung, die Geräte- und Netzwerkinformationen, die Liste der installierten Anwendungen, Kontaktlisten, SMS-Daten und mehr umfasst.

Greenbean erweitert seine Funktionalitäten durch das Herunterladen von Dateien und Bildern sowie das Extrahieren von Inhalten aus der Zwischenablage. Obwohl der Trojaner in der Lage ist, SMS zu versenden, wurden nach den aktuellen Informationen keine Mautbetrugsaktivitäten beobachtet. Darüber hinaus führt Greenbean eine neuartige Funktion ein, indem Screenshots erstellt, der Bildschirm des infizierten Geräts gestreamt und von dessen Kameras angezeigt werden.

Das Hauptziel von Greenbean besteht darin, persönlich identifizierbare Informationen, Anmeldeinformationen und Finanzdaten seiner Opfer zu sammeln. Es zielt speziell auf Anwendungen wie Gmail, WeChat, AliPay, MyVIB, MetaMask und Paybis ab. Insbesondere kann Greenbean ausgehende Geldtransaktionen manipulieren, indem es die Empfängerdaten ändert und sogar Transaktionen ohne die Eingabe des Opfers initiieren kann.

Zur Verbreitung des Banking-Trojaners Greenbean genutzte Infektionsvektoren

Greenbean wurde über die Website antlercrypto(dot)com vertrieben, die eine Kryptowährungsanwendung bewirbt, die erhebliche Auszahlungen verspricht. Benutzer, die sich für die Download-Funktion auf dieser Website entscheiden, lösen den Download einer Datei namens „AntlerWeath.apk“ von einer auf Amazon AWS gehosteten Domain aus. Es ist wichtig zu erkennen, dass auch alternative Domänen, Dateinamen oder Verbreitungsmethoden zur Verbreitung dieser speziellen Malware eingesetzt werden können.

Typischerweise verbreitet sich Malware durch Phishing- und Social-Engineering-Techniken, wobei sie sich oft als scheinbar gewöhnliche Programme oder Mediendateien ausgibt oder mit diesen gebündelt wird. Zu den am weitesten verbreiteten Verbreitungsmethoden gehören Online-Taktiken, diskrete Drive-by-Downloads, nicht vertrauenswürdige Downloadquellen wie Freeware und kostenlose File-Hosting-Sites, Peer-to-Peer-Sharing-Netzwerke und App-Stores von Drittanbietern. Betrügerische Anhänge oder Links in Spam-Nachrichten (E-Mails, DMs/PMs, SMS, Beiträge in sozialen Medien/Foren), Malvertising, Raubkopien von Software oder Medien, illegale Programmaktivierungstools (allgemein als „Cracks“ bekannt) und gefälschte Updates sind ebenfalls häufige Vektoren.

Es ist erwähnenswert, dass Malware-Entwickler möglicherweise legitime Download-Kanäle wie den Google Play Store nutzen, um ihre Kreationen zu verbreiten. Während authentische Plattformen über Maßnahmen verfügen, um einem solchen Missbrauch entgegenzuwirken und dadurch die Langlebigkeit unsicherer Inhalte zu beeinträchtigen, kann selbst die kurze Hosting-Zeit auf diesen Plattformen für betrügerische Akteure als lukrativ angesehen werden.