Jak usunąć trojana bankowego Greenbean z urządzenia z Androidem?
Napisany przez Tomasa Meskauskasa,
Jakiego rodzaju złośliwym oprogramowaniem jest Greenbean?
Greenbean to nazwa trojana bankowego. Jest on przeznaczony do infekowania systemów operacyjnych Android. Ten złośliwy program istnieje od co najmniej 2023 roku. Jak sugeruje jego nazwa, trojan ten szuka informacji bankowych i innych związanych z finansami. Istnieją dowody sugerujące, że Greenbean atakuje użytkowników w Wietnamie i Chinach.
Przegląd złośliwego oprogramowania Greenbean
Podobnie jak większość trojanów ukierunkowanych na Androida, Greenbean opiera się na usługach Android Accessibility Services. Zostały one zaprojektowane w celu zapewnienia dodatkowej pomocy użytkownikom, którzy potrzebują jej do interakcji z urządzeniem.
Android Accessibility Services mogą w różny sposób manipulować urządzeniami, np. odczytywać ekran, symulować ekran dotykowy i klawiaturę, wchodzić w interakcje z oknami dialogowymi, blokować/odblokowywać urządzenie itp. W związku z tym programy, które nadużywają tych usług, zyskują ich pełne możliwości.
Po infiltracji Greenbean prosi użytkownika o przyznanie uprawnień dostępu, a po ich uzyskaniu - złośliwe oprogramowanie eskaluje swoje uprawnienia. Trojan zaczyna zbierać istotne informacje: dane urządzenia i sieci, listę zainstalowanych aplikacji, listy kontaktów, dane SMS itp.
Greenbean może pobierać pliki i zdjęcia. Może również wyodrębnić zawartość skopiowaną do schowka (bufor kopiuj-wklej). Ponieważ program ten jest zdolny do wysyłania wiadomości SMS - może być używany jako Toll Fraud malware, ale nie został wykorzystany w ten sposób w momencie pisania tego tekstu.
Dodatkowo trojan może wykonywać zrzuty ekranu. Dość nowatorską zdolnością Greenbean jest strumieniowe przesyłanie ekranu zainfekowanego urządzenia i widoku z kamer telefonu.
To złośliwe oprogramowanie ma na celu uzyskanie danych osobowych ofiar, danych logowania i danych finansowych. Jego celem są następujące aplikacje: Gmail (poczta e-mail), WeChat (komunikator, media społecznościowe, aplikacja do płatności mobilnych), AliPay (platforma płatności online), MyVIB (aplikacja Vietnam International Bank), MetaMask (portfel kryptowalut) i Paybis (kryptowaluta).
Greenbean może przekierowywać wychodzące transakcje pieniężne, zmieniając dane odbiorcy. Złośliwy program może również inicjować te transakcje bez udziału ofiary.
Należy wspomnieć, że twórcy złośliwego oprogramowania często aktualizują swoje oprogramowanie i metodologie. Dlatego potencjalne przyszłe wersje Greenbean mogą mieć szerszą listę docelową lub dodatkowe/różne funkcje.
Podsumowując, obecność złośliwego oprogramowania, takiego jak Greenbean, na urządzeniach może skutkować poważnymi problemami z prywatnością, stratami finansowymi, a nawet kradzieżą tożsamości.
Nazwa | Greenbean banking malware |
Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja, trojan bankowy. |
Nazwy wykrywania | Avast-Mobile (Android:Evo-gen [Trj]), ESET-NOD32 (Wariant Android/Spy.Cerberus.AK), Fortinet (Android/Agent.JDU!tr), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.oc), Pełna lista (VirusTotal). |
Powiązane domeny | antlercrypto[.]com |
Nazwy wykrywania (antlercrypto[.]com) | Combo Cleaner (złośliwe oprogramowanie), CRDF (złośliwe oprogramowanie), G-Data (złośliwe oprogramowanie), VIPRE (złośliwe oprogramowanie), pełna lista (VirusTotal). |
Adres IP serwera (antlercrypto[.]com) | 13.52.220.155 |
Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
Uszkodzenie | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady trojanów bankowych
Joker, TrickMo, Iranian banking trojan, Nexus, i S.O.V.A. to tylko niektóre przykłady złośliwego oprogramowania bankowego na Androida, o których ostatnio pisaliśmy. Oprogramowanie ukierunkowane na informacje może szukać tylko określonych szczegółów lub szerokiego zakresu danych. Inne rodzaje złośliwego oprogramowania mogą również posiadać te zdolności ekstrakcji danych.
Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być eliminowane natychmiast po wykryciu.
Jak Greenbean przeniknął do mojego urządzenia?
Zaobserwowano, że Greenbean jest rozpowszechniany za pośrednictwem strony internetowej - antlercrypto[.]com - która promuje aplikację kryptowalutową oferującą ogromne wypłaty. Po wybraniu opcji pobierania, uruchamiane jest pobieranie pliku o nazwie "AntlerWeath.apk" z domeny hostowanej przez usługę Amazon AWS. Należy pamiętać, że do rozprzestrzeniania tego programu mogą być używane inne domeny, nazwy plików lub metody.
Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się poprzez phishing i techniki inżynierii społecznej. Oprogramowanie jest zwykle prezentowane jako zwykły program lub plik multimedialny.
Najbardziej rozpowszechnione metody dystrybucji obejmują: oszustwa internetowe, pobieranie drive-by (ukradkowe/zwodnicze), niezaufane źródła pobierania (np. darmowe oprogramowanie i darmowe witryny hostujące pliki, sieci udostępniania Peer-to-Peer, sklepy z aplikacjami innych firm itp.), złośliwe załączniki/linki w spamie (np. e-maile, wiadomości DM/PM, SMS-y, posty w mediach społecznościowych/na forach itp.), złośliwe reklamy, pirackie oprogramowanie/media, nielegalne narzędzia do aktywacji programów ("cracki") i fałszywe aktualizacje. Niektóre złośliwe programy mogą nawet rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Warto zauważyć, że twórcy złośliwego oprogramowania mogą wykorzystywać legalne kanały pobierania, takie jak Sklep Google Play do rozpowszechniania swoich dzieł. Podczas gdy prawdziwe źródła pobierania mają środki zapobiegające takim nadużyciom, utrudniając w ten sposób długowieczność złośliwej zawartości na platformie - nawet ograniczony czas hostingu może zostać uznany za lukratywny.
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem przed jego pobraniem lub zakupem, np. poprzez przeczytanie warunków i recenzji ekspertów/użytkowników, sprawdzenie wymaganych uprawnień i zweryfikowanie legalności dewelopera.
Ponadto wszystkie pliki do pobrania muszą pochodzić z oficjalnych i godnych zaufania kanałów. Innym zaleceniem jest aktywacja i aktualizacja oprogramowania przy użyciu legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Zalecamy ostrożność podczas przeglądania, ponieważ oszukańcze i złośliwe treści online zwykle wyglądają na autentyczne i nieszkodliwe. Czujność należy zachować także w przypadku przychodzących e-maili i innych wiadomości. Nie należy otwierać załączników ani linków znalezionych w podejrzanych wiadomościach, ponieważ mogą one być złośliwe.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego niezawodnego programu antywirusowego. Oprogramowanie to musi być używane do regularnego skanowania systemu i usuwania zagrożeń i problemów.
Pojawienie się strony promującej złośliwe oprogramowanie Greenbean pod przykrywką aplikacji kryptograficznej (antlercrypto[.]com):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny dostarczające powiadomienia przeglądarki, dotknij ich i kliknij "Clear & reset". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "ZARZĄDZANIE PRZECHOWYWANIEM", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, dotykając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "Zamkiem") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "Wyczyść".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "WYCZYŚĆ DANE" i potwierdź czynność, dotykając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu bezpiecznego".
Uruchom urządzenie z systemem Android w trybie awaryjnym:
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Zasilanie" i przytrzymaj go do momentu wyświetlenia ekranu "Wyłączanie". Stuknij ikonę "Wyłącz zasilanie" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić poprzez ponowne uruchomienie urządzenia.
Sprawdź zużycie baterii w różnych aplikacjach:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywały jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego też należy zawsze upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "O telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Zresetuj ustawienia" - przywrócenie wszystkich ustawień systemowych do wartości domyślnych;
"Zresetuj ustawienia sieciowe" - przywrócenie wszystkich ustawień sieciowych do wartości domyślnych;
"Zresetuj dane fabryczne" - zresetowanie całego systemu i całkowite usunięcie wszystkich zapisanych danych;
Wyłącz aplikacje z uprawnieniami administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem Greenbean, czy powinienem sformatować pamięć, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga tak drastycznych działań.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie Greenbean?
Zagrożenia stwarzane przez infekcję zależą od funkcjonalności złośliwego programu i sposobu działania atakujących. Greenbean jest trojanem bankowym i jak sama nazwa wskazuje - atakuje głównie dane związane z finansami. Zazwyczaj infekcje tego typu mogą skutkować poważnymi naruszeniami prywatności, stratami finansowymi i kradzieżą tożsamości.
Jaki jest cel złośliwego oprogramowania Greenbean?
Podobnie jak większość infekcji złośliwym oprogramowaniem, ataki Greenbean są motywowane zyskiem finansowym. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. stron internetowych, usług, firm, organizacji itp.), angażowania się w haktywizm i przeprowadzania ataków z powodów politycznych / geopolitycznych.
Jak złośliwe oprogramowanie Greenbean przeniknęło do mojego urządzenia z Androidem?
Zauważono, że Greenbean jest rozprzestrzeniany za pośrednictwem strony internetowej promującej aplikację platformy kryptograficznej, która obiecuje ogromne zyski. Możliwe są również inne metody dystrybucji.
Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się poprzez pobieranie drive-by, oszustwa internetowe, spam (np. e-maile, wiadomości PM/DM, posty w mediach społecznościowych, SMS-y itp.), złośliwe reklamy, podejrzane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner został zaprojektowany do skanowania systemów i eliminowania wszelkiego rodzaju zagrożeń. Jest w stanie wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Należy pamiętać, że uruchomienie pełnego skanowania systemu jest niezbędne, ponieważ wyrafinowane złośliwe programy zazwyczaj ukrywają się głęboko w systemach.
▼ Pokaż dyskusję