Troyano bancario Greenbean

Greenbean es identificado como un troyano bancario por expertos en ciberseguridad, diseñado específicamente para infiltrarse en los sistemas operativos Android. Este software amenazante, que se sabe que existe desde al menos 2023, está orientado principalmente a extraer información financiera y otros datos relacionados con la banca. En particular, se ha observado que Greenbean se dirige a usuarios ubicados en Vietnam y China, lo que indica un enfoque geográfico en estas regiones.

El troyano bancario Greenbean podría comprometer información confidencial del usuario

Greenbean, como muchos troyanos dirigidos a dispositivos Android, explota las capacidades de los Servicios de Accesibilidad de Android, que fueron diseñados inicialmente para mejorar la interacción del usuario con necesidades específicas. Estos servicios otorgan al troyano varias funciones de manipulación, como lectura de pantalla, simulación de pantalla táctil y teclado, interacción con cuadros de diálogo y bloqueo/desbloqueo de dispositivos. En consecuencia, cuando se hace un mal uso de estos servicios, los troyanos como Greenbean pueden aprovechar al máximo sus capacidades.

Tras la infiltración, Greenbean solicita a los usuarios que otorguen permisos de Accesibilidad; al recibirlos, el malware eleva sus privilegios. Posteriormente, el troyano inicia la recopilación de datos, que abarca información del dispositivo y de la red, la lista de aplicaciones instaladas, listas de contactos, datos de SMS y más.

Greenbean amplía sus funcionalidades descargando archivos e imágenes y extrayendo contenido del portapapeles. Si bien es capaz de enviar SMS, no se ha observado que el troyano participe en fraudes de peajes hasta la información actual. Además, Greenbean introduce una característica novedosa al tomar capturas de pantalla, transmitir la pantalla del dispositivo infectado y visualizar desde sus cámaras.

El objetivo principal de Greenbean es recopilar información de identificación personal, credenciales de inicio de sesión y datos financieros de sus víctimas. Se dirige específicamente a aplicaciones como Gmail, WeChat, Doku, MyVIB, MetaMask y Paybis. En particular, Greenbean puede manipular transacciones monetarias salientes alterando los detalles del receptor e incluso puede iniciar transacciones sin la participación de las víctimas.

Vectores de infección utilizados para implementar el troyano bancario Greenbean

Greenbean ha sido identificado en distribución a través de un sitio web, antlercrypto(punto)com, que promueve una aplicación de criptomonedas que promete pagos sustanciales. Los usuarios que optan por la función de descarga en este sitio activan la descarga de un archivo llamado 'AntlerWeath.apk' desde un dominio alojado en Amazon AWS. Es importante reconocer que también se pueden emplear dominios, nombres de archivos o métodos de difusión alternativos para propagar este malware en particular.

Por lo general, el malware se propaga a través de técnicas de phishing e ingeniería social, a menudo haciéndose pasar por programas o archivos multimedia aparentemente comunes o agrupados con ellos. Los métodos de distribución más frecuentes abarcan tácticas en línea, descargas discretas, fuentes de descarga no confiables, como software gratuito y sitios de alojamiento de archivos gratuitos, redes de intercambio entre pares y tiendas de aplicaciones de terceros. Los archivos adjuntos o enlaces fraudulentos en mensajes de spam (correos electrónicos, DM/PM, SMS, publicaciones en redes sociales/foros), publicidad maliciosa, software o medios pirateados, herramientas de activación de programas ilegales (comúnmente conocidas como 'cracks') y actualizaciones falsas también son vectores comunes.

Vale la pena señalar que los desarrolladores de malware pueden aprovechar canales de descarga legítimos como Google Play Store para difundir sus creaciones. Si bien las plataformas auténticas cuentan con medidas para contrarrestar ese abuso, impidiendo así la longevidad del contenido inseguro, incluso el breve tiempo de alojamiento en estas plataformas puede considerarse lucrativo para los actores relacionados con el fraude.