Greenbean バンキング型トロイの木馬

Greenbean は、サイバーセキュリティの専門家によって、Android オペレーティング システムに侵入するために特別に作成されたバンキング型トロイの木馬であると特定されています。この脅威的なソフトウェアは、少なくとも 2023 年から存在していることが知られており、主に財務情報やその他の銀行関連データを抽出することを目的としています。特に、Greenbean はベトナムと中国に住むユーザーをターゲットにしていることが観察されており、これらの地域に地理的に重点を置いていることがわかります。

Greenbean Banking トロイの木馬はユーザーの機密情報を侵害する可能性がある

Greenbean は、Android デバイスをターゲットとする多くのトロイの木馬と同様、Android ユーザー補助サービスの機能を悪用します。このサービスは、当初、特定のニーズを持つ個人向けのユーザー インタラクションを強化するために設計されました。これらのサービスは、画面の読み取り、タッチスクリーンとキーボードのシミュレーション、ダイアログ ボックスとの対話、デバイスのロック/ロック解除など、さまざまな操作機能をトロイの木馬に許可します。したがって、これらのサービスが悪用されると、Greenbean のようなトロイの木馬がその機能を最大限に活用する可能性があります。

侵入すると、Greenbean はユーザーにアクセシビリティ権限を付与するよう求めます。それらを受信すると、マルウェアはその権限を昇格させます。その後、このトロイの木馬は、デバイスとネットワークの情報、インストールされているアプリケーションのリスト、連絡先リスト、SMS データなどを含むデータ収集を開始します。

Greenbean は、ファイルや画像をダウンロードし、クリップボードからコンテンツを抽出することで機能を拡張します。このトロイの木馬は SMS を送信できますが、現在の情報では通話料詐欺に関与していることは観察されていません。さらに、Greenbean は、スクリーンショットを撮り、感染したデバイスの画面をストリーミングし、カメラから表示するという新しい機能を導入します。

Greenbean の主な目的は、被害者から個人を特定できる情報、ログイン認証情報、財務データを収集することです。具体的には、Gmail、WeChat、AliPay、MyVIB、MetaMask、Paybis などのアプリケーションを対象としています。特に、Greenbean は受取人の詳細を変更することで送金取引を操作でき、被害者の入力なしに取引を開始する可能性もあります。

Greenbean バンキング型トロイの木馬の展開に利用された感染ベクトル

Greenbean は、多額の支払いを約束する暗号通貨アプリケーションを宣伝する Web サイト、antlercrypto(dot)com を通じて配布されていることが確認されています。このサイトでダウンロード機能を選択したユーザーは、Amazon AWS でホストされているドメインから「AntlerWeath.apk」という名前のファイルのダウンロードをトリガーします。この特定のマルウェアを増殖させるために、別のドメイン、ファイル名、または配布方法も使用される可能性があることを認識することが重要です。

通常、マルウェアはフィッシングやソーシャル エンジニアリングの手法を通じて拡散し、一見普通のプログラムやメディア ファイルに見せかけたり、それらにバンドルしたりすることがよくあります。最も一般的な配布方法には、オンライン戦略、目立たないドライブバイ ダウンロード、フリーウェアや無料のファイル ホスティング サイトなどの信頼できないダウンロード ソース、ピアツーピア共有ネットワーク、サードパーティのアプリ ストアが含まれます。スパム メッセージ内の不正な添付ファイルやリンク (電子メール、DM/PM、SMS、ソーシャル メディア/フォーラムの投稿)、マルバタイジング、海賊版のソフトウェアやメディア、違法なプログラム アクティベーション ツール (一般に「クラック」として知られている)、および偽のアップデートも一般的なベクトルです。

マルウェア開発者は、Google Play ストアなどの正規のダウンロード チャネルを悪用して、その作品を広める可能性があることに注意してください。本物のプラットフォームにはそのような悪用に対抗するための対策が講じられており、それによって安全でないコンテンツの存続が妨げられていますが、これらのプラットフォームでの短いホスティング時間でさえ、詐欺関連の行為者にとっては儲かるとみなされる可能性があります。