Cheval de Troie bancaire Greenbean

Greenbean est identifié comme un cheval de Troie bancaire par des experts en cybersécurité, spécialement conçu pour infiltrer les systèmes d'exploitation Android. Ce logiciel menaçant, connu pour exister depuis au moins 2023, est principalement destiné à extraire des informations financières et autres données bancaires. Notamment, Greenbean a été observé ciblant des utilisateurs situés au Vietnam et en Chine, indiquant une concentration géographique sur ces régions.

Le cheval de Troie bancaire Greenbean pourrait compromettre les informations sensibles des utilisateurs

Greenbean, comme de nombreux chevaux de Troie ciblant les appareils Android, exploite les capacités des services d'accessibilité Android, initialement conçus pour améliorer l'interaction des utilisateurs avec des besoins spécifiques. Ces services confèrent au cheval de Troie diverses fonctions de manipulation, telles que la lecture d'écran, la simulation d'écran tactile et de clavier, l'interaction avec les boîtes de dialogue et le verrouillage/déverrouillage d'appareils. Par conséquent, lorsque ces services sont utilisés à mauvais escient, les chevaux de Troie comme Greenbean peuvent exploiter pleinement leurs capacités.

Lors de l'infiltration, Greenbean invite les utilisateurs à accorder des autorisations d'accessibilité ; dès leur réception, le malware élève ses privilèges. Par la suite, le cheval de Troie lance la collecte de données, comprenant des informations sur l'appareil et le réseau, la liste des applications installées, des listes de contacts, des données SMS, etc.

Greenbean étend ses fonctionnalités en téléchargeant des fichiers et des images et en extrayant le contenu du presse-papiers. Bien qu'il soit capable d'envoyer des SMS, le cheval de Troie n'a pas été observé en train de commettre une fraude aux péages à l'heure actuelle. De plus, Greenbean introduit une nouvelle fonctionnalité en prenant des captures d'écran, en diffusant l'écran de l'appareil infecté et en le visualisant depuis ses caméras.

L'objectif principal de Greenbean est de récolter des informations personnelles identifiables, des identifiants de connexion et des données financières de ses victimes. Il cible spécifiquement des applications telles que Gmail, WeChat, Alipay, MyVIB, MetaMask et Paybis. Greenbean peut notamment manipuler les transactions monétaires sortantes en modifiant les détails du destinataire et peut même initier des transactions sans la participation des victimes.

Vecteurs d'infection utilisés pour déployer le cheval de Troie bancaire Greenbean

Greenbean a été identifié en distribution via un site Web, antlercrypto(dot)com, qui fait la promotion d'une application de crypto-monnaie promettant des paiements substantiels. Les utilisateurs qui optent pour la fonctionnalité de téléchargement sur ce site déclenchent le téléchargement d'un fichier nommé « AntlerWeath.apk » depuis un domaine hébergé sur Amazon AWS. Il est important de reconnaître que d’autres domaines, noms de fichiers ou méthodes de diffusion peuvent également être utilisés pour faire proliférer ce malware particulier.

Généralement, les logiciels malveillants se propagent via des techniques de phishing et d'ingénierie sociale, souvent en se faisant passer pour des programmes ou des fichiers multimédias apparemment ordinaires ou en les regroupant avec eux. Les méthodes de distribution les plus répandues englobent les tactiques en ligne, les téléchargements discrets, les sources de téléchargement peu fiables telles que les logiciels gratuits et les sites d'hébergement de fichiers gratuits, les réseaux de partage Peer-to-Peer et les magasins d'applications tiers. Les pièces jointes ou les liens frauduleux dans les messages de spam (e-mails, DM/PM, SMS, messages sur les réseaux sociaux/forums), la publicité malveillante, les logiciels ou médias piratés, les outils d'activation de programmes illégaux (communément appelés « cracks ») et les fausses mises à jour sont également des vecteurs courants.

Il convient de noter que les développeurs de logiciels malveillants peuvent exploiter des canaux de téléchargement légitimes comme le Google Play Store pour diffuser leurs créations. Même si les plateformes authentiques ont mis en place des mesures pour contrecarrer de tels abus, entravant ainsi la longévité des contenus dangereux, même la brève durée d'hébergement sur ces plateformes peut être considérée comme lucrative pour les acteurs liés à la fraude.