Come rimuovere il trojan bancario Greenbean dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è Greenbean?
Greenbean è il nome di un trojan bancario. È progettato per infettare i sistemi operativi Android. Questo programma dannoso è in circolazione almeno dal 2023. Come suggerisce la sua classificazione, questo trojan cerca informazioni bancarie e altre informazioni legate alla finanza. Ci sono prove che suggeriscono che Greenbean si rivolge agli utenti del Vietnam e della Cina.
Panoramica del malware Greenbean
Come la maggior parte dei trojan che mirano ad Android, Greenbean si affida ai servizi di accessibilità di Android. Questi sono progettati per fornire un aiuto supplementare agli utenti che lo richiedono per interagire con il dispositivo.
I servizi di accessibilità di Android possono manipolare in vario modo i dispositivi, ad esempio leggere lo schermo, simulare il touchscreen e la tastiera, interagire con le finestre di dialogo, bloccare/sbloccare il dispositivo, ecc. Di conseguenza, i programmi che abusano di questi servizi ne sfruttano appieno le capacità.
Dopo l'infiltrazione, Greenbean chiede all'utente di concedere i permessi di accessibilità e, dopo averli acquisiti, il malware aumenta i propri privilegi. Il trojan inizia a raccogliere informazioni rilevanti: dati del dispositivo e della rete, elenco delle applicazioni installate, elenchi di contatti, dati degli SMS, ecc.
Greenbean può scaricare file e fotografie. Può anche estrarre il contenuto copiato negli appunti (buffer copia-incolla). Poiché questo programma è in grado di inviare SMS, potrebbe essere utilizzato come Toll Fraud malware, ma al momento in cui scriviamo non è stato utilizzato in questo modo.
Inoltre, il trojan è in grado di scattare screenshot. La capacità di Greenbean, piuttosto innovativa, è quella di trasmettere lo schermo del dispositivo infetto e la vista dalle fotocamere del telefono.
Questo malware mira a ottenere i dati di identificazione personale delle vittime, le credenziali di accesso e i dati finanziari. Prende di mira le seguenti applicazioni: Gmail (e-mail), WeChat (messenger, social media, app di pagamento mobile), AliPay (piattaforma di pagamento online), MyVIB (app della Vietnam International Bank), MetaMask (portafoglio di criptovalute) e Paybis (criptovaluta).
Greenbean può reindirizzare le transazioni monetarie in uscita modificando i dettagli del destinatario. Il programma maligno potrebbe anche avviare queste transazioni senza l'input delle vittime.
Va detto che gli sviluppatori di malware aggiornano spesso il loro software e le loro metodologie. Pertanto, le potenziali versioni future di Greenbean potrebbero avere un elenco di obiettivi più ampio o funzionalità aggiuntive/differenti.
In sintesi, la presenza di malware come Greenbean sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e persino il furto di identità.
| Nome | Greenbean banking malware |
| Tipo di minaccia | Malware Android, applicazione dannosa, trojan bancario. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), ESET-NOD32 (Una variante di Android/Spy.Cerberus.AK), Fortinet (Android/Agent.JDU!tr), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.oc), Elenco completo (VirusTotal) |
| Domini correlati | antlercrypto[.]com |
| Nomi di rilevamento (antlercrypto[.]com) | Combo Cleaner (malware), CRDF (malware), G-Data (malware), VIPRE (malware), Elenco completo (VirusTotal) |
| Indirizzo IP di servizio (antlercrypto[.]com) | 13.52.220.155 |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffaldini. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, rapido esaurimento della batteria, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di trojan bancari
Joker, TrickMo, Trojan bancario iraniano, Nexus, e S.O.V.A. sono solo alcuni esempi di malware bancario Android di cui abbiamo scritto recentemente. I software che mirano alle informazioni possono cercare solo dettagli specifici o un'ampia gamma di dati. Anche altri tipi di malware possono possedere queste capacità di estrazione dei dati.
Tuttavia, indipendentemente dal modo in cui il software dannoso opera, la sua presenza nel sistema mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il loro rilevamento.
Come si è infiltrato Greenbean nel mio dispositivo?
È stato osservato che Greenbean viene distribuito tramite un sito web - antlercrypto[.]com - che promuove un'applicazione di criptovaluta che offre enormi vincite. Dopo aver selezionato l'opzione di download, si attiva il download di un file intitolato "AntlerWeath.apk" da un dominio ospitato attraverso il servizio Amazon AWS. Si noti che altri domini, nomi di file o metodi possono essere utilizzati per far proliferare questo programma.
In genere, il malware si diffonde affidandosi a tecniche di phishing e social engineering. Il software viene tipicamente presentato come file di programma/media o fornito in bundle con essi.
I metodi di distribuzione più diffusi includono: truffe online, download drive-by (furtivi/ingannevoli), fonti di download non affidabili (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione Peer-to-Peer, app store di terze parti, ecc.), allegati/link dannosi nello spam (ad esempio, e-mail, DM/PM, SMS, post su social media/forum, ecc.), malvertising, software/media piratati, strumenti di attivazione illegale dei programmi ("crack") e falsi aggiornamenti. Alcuni programmi dannosi possono anche auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
È da notare che gli sviluppatori di malware potrebbero utilizzare canali di download legittimi come il Google Play Store per diffondere le loro creazioni. Mentre le fonti di download autentiche dispongono di misure contro questo tipo di abuso, ostacolando così la longevità dei contenuti dannosi sulla piattaforma, anche il tempo limitato di hosting può essere considerato redditizio.
Come evitare l'installazione di malware?
Prima di scaricare o acquistare un software, si consiglia di effettuare una ricerca, ad esempio leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni richieste e verificando la legittimità dello sviluppatore.
Inoltre, tutti i download devono essere effettuati da canali ufficiali e affidabili. Un'altra raccomandazione è quella di attivare e aggiornare il software utilizzando funzioni/strumenti legittimi, poiché quelli ottenuti da terzi possono contenere malware.
Si consiglia di prestare attenzione durante la navigazione, poiché i contenuti online fraudolenti e dannosi di solito appaiono autentici e innocui. La vigilanza deve essere estesa alle e-mail e agli altri messaggi in arrivo. Gli allegati o i link trovati in messaggi sospetti non devono essere aperti, perché possono essere virulenti.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Questo software deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi.
Comparsa di un sito che promuove il malware Greenbean sotto le spoglie di un'applicazione crittografica (antlercrypto[.]com):
![Il trojan bancario Greenbean promuove un sito web falso (antlercrypto[.]com)](/images/stories/screenshots202402/greenbean-banking-trojan-promoter.jpg)
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser nel browser web Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Cancellare la cronologia di navigazione dal browser Chrome:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Storia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "ADVANZATE", scegliere l'intervallo di tempo e i tipi di dati da eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser web Chrome:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccarla. Scorrere verso il basso fino a visualizzare l'opzione "Notifiche" e toccarla.
Individuate i siti web che forniscono notifiche al browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, quando si visita di nuovo lo stesso sito, è possibile che venga richiesta nuovamente un'autorizzazione. È possibile scegliere se concedere o meno tali autorizzazioni (se si sceglie di rifiutare, il sito web passerà alla sezione "Bloccato" e non chiederà più l'autorizzazione).
Reimpostare il browser web Chrome:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Apps" e toccatelo.
Scorrete verso il basso fino a trovare l'applicazione "Chrome", selezionatela e toccate l'opzione "Storage".
Toccare "MANAGE STORAGE", quindi "CLEAR ALL DATA" e confermare l'azione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Sarà inoltre necessario effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser web Firefox:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Storia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionare i tipi di dati che si desidera rimuovere e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser web Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "Lock") e selezionare "Modifica impostazioni sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "Cancella".
Reimpostare il browser web Firefox:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Apps" e toccatelo.
Scorrete verso il basso fino a trovare l'applicazione "Firefox", selezionatela e toccate l'opzione "Storage".
Toccare "Cancella dati" e confermare l'azione toccando "Cancella". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Sarà inoltre necessario effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Apps" e toccatelo.
Scorrere verso il basso fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità sicura".
Avviare il dispositivo Android in "modalità provvisoria":
La "Modalità sicura" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premere il pulsante "Power" e tenerlo premuto fino a visualizzare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità sicura" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Manutenzione dispositivo" e toccatelo.
Toccare "Batteria" e controllare l'utilizzo di ciascuna applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor quantitativo di energia possibile al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere verso il basso fino a visualizzare "Uso dei dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo enorme dei dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia della rete mobile che di quella Wi-Fi.
Se trovate un'applicazione che utilizza molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
Eseguire un "Ripristino di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati all'interno del dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È inoltre possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Andate su "Impostazioni", scorrete verso il basso fino a visualizzare "Informazioni sul telefono" e toccatelo.
Scorrere verso il basso fino a visualizzare "Reset" e toccarlo. Ora scegliete l'azione che volete eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disattivare le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Schermo di blocco e sicurezza" e toccarlo.
Scorrete verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccatelo e poi toccate "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware Greenbean, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede azioni così drastiche.
Quali sono i maggiori problemi che il malware Greenbean può causare?
I pericoli posti da un'infezione dipendono dalle funzionalità del programma dannoso e dal modus operandi degli aggressori. Greenbean è un trojan bancario e, come suggerisce il nome, prende di mira principalmente i dati relativi alla finanza. In genere, infezioni di questo tipo possono causare gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware Greenbean?
Come la maggior parte delle infezioni da malware, gli attacchi di Greenbean sono motivati da un guadagno economico. Tuttavia, i criminali informatici possono utilizzare il software maligno anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, aziende, organizzazioni, ecc.), impegnarsi nell'hacktivismo e lanciare attacchi per motivi politici/geopolitici.
Come si è infiltrato il malware Greenbean nel mio dispositivo Android?
È stata notata la proliferazione di Greenbean tramite un sito web che promuove un'applicazione di piattaforma crittografica che promette enormi profitti. Sono possibili altri metodi di distribuzione.
In generale, il malware si diffonde tramite download drive-by, truffe online, spam (ad esempio, e-mail, PM/DM, post sui social media, SMS, ecc.), malvertising, fonti di download dubbie (ad esempio, siti web di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), strumenti di attivazione del software illegali ("crack") e falsi aggiornamenti. Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è progettato per scansionare i sistemi ed eliminare ogni tipo di minaccia. È in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Si noti che l'esecuzione di una scansione completa del sistema è essenziale, poiché i programmi maligni più sofisticati si nascondono in genere in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione