MalwareHackerangriffeCyberkriminalität

TCLBanker: Neuer Banking-Trojaner breitet sich über WhatsApp und Outlook aus

Von CyberDeutsch Redaktion
TCLBanker: Neuer Banking-Trojaner breitet sich über WhatsApp und Outlook aus
Zusammenfassung

Das neue Banking-Trojaner TCLBanker stellt eine erhebliche Bedrohung dar, die durch eine manipulierte Installer-Datei der Logitech AI Prompt Builder verbreitet wird. Der von Elastic Security Labs entdeckte Schädling zielt auf 59 Bank-, Fintech- und Kryptowährungsplattformen ab und zeichnet sich durch alarmierende Selbstverbreitungsmechanismen aus, die über WhatsApp und Outlook funktionieren. Während TCLBanker derzeit primär Brasilien im Visier hat und geografische Parameter wie Zeitzone und Tastaturlayout überprüft, besteht ein reales Risiko einer geografischen Ausweitung, da lateinamerikanische Malware in der Vergangenheit regelmäßig aktualisiert wurde. Deutsche Nutzer, Unternehmen und Behörden sollten diese Entwicklung ernst nehmen, da LATAM-Malware-Familienübergreifend an neue Märkte angepasst werden könnten. Besonders besorgniserregend sind die hocheffizienten Anti-Analyse-Mechanismen, die Sicherheitsprodukte täuschen, sowie die Fähigkeit zur automatischen Kontaktinfizierung. Das Trojaner-Module überwacht Bankenseiten sekündlich und kann Benutzerverhalten manipulieren, Zugangsdaten stehlen und Remote-Kontrolle etablieren. Die Kombination aus DLL-Sideloa­ding, WebSocket-basierter Command-and-Control-Kommunikation und einer WPF-gestützten Overlay-Architektur für Phishing-Attacken demonstriert eine erhebliche technische Reife.

TCLBanker stellt eine bedeutende Weiterentwicklung der älteren Maverick/Sorvepotel-Malware-Familie dar und zielt auf insgesamt 59 Banking-, Fintech- und Kryptowährungsplattformen ab. Das Besondere an diesem Trojaner ist sein zweistufiges Infektionskonzept: Zunächst wird die Malware durch eine manipulierte Installer-Datei auf das System gebracht, danach breitet sie sich eigenständig über populäre Kommunikationswerkzeuge aus.

Die technische Analyse offenbarte erhebliche Schutzmechanismen gegen Analyse und Debugging. TCLBanker verfügt über umgebungsabhängige Verschlüsselungsroutinen, die speziell in Sandbox- und Analysierungsumgebungen fehlschlagen. Zudem läuft ein persistenter Überwachungs-Thread, der kontinuierlich nach Analyse-Tools wie x64dbg, IDA Pro, dnSpy, Frida und anderen fahndet. Die Malware wird über DLL-Sideloding im Kontext der legitimen Logitech-Anwendung geladen, was Sicherheitssoftware umgeht.

Sobald ein Opfer eine der 59 Zielplattformen besucht, übernimmt TCLBanker die Kontrolle. Das Malware-Modul überwacht die Browser-Adressleiste sekündlich mittels Windows UI Automation APIs. Bei Erkennung einer Zielseite stellt die Malware eine WebSocket-Verbindung zum Command-and-Control-Server her und leitet die Remote-Control-Operationen ein. Dabei werden Prozesse wie Task Manager gezielt beendet, um die böswillige Aktivität zu verschleiern. Das Trojaner-Backend kann gefälschte Eingabeformulare, PIN-Tastaturen, Bankenchat-Fenster und sogar täuschend echte Windows-Update-Screens einblenden.

Das Worm-Modul zeigt verstörende Autonomie: TCLBanker durchsucht Chromium-Browser-Profile nach WhatsApp-Web-Authentifizierungsdaten, kapert das Opfer-Konto und sendet automatisiert Spam-Nachrichten an Kontakte mit brasilianischen Nummern. Ein paralleles Modul missbraucht Microsoft Outlook via COM-Automation, harvested Kontakte und versendet Phishing-E-Mails aus dem gekaperten Konto des Opfers – ein Mechanismus, der auch in Europa hochgradig effektiv wäre.

Code-Artefakte deuten darauf hin, dass KI-Tools in der Malware-Entwicklung eingesetzt wurden. Während dies auf geringere technische Hürden hindeutet, zeigt es auch: Cyberkriminelle können zunehmend professionellere Werkzeuge nutzen. Elastic warnt, dass TCLBanker Funktionen bietet, die ehedem nur in hochsophistizierten Spionage-Werkzeugen zu finden waren – jetzt aber für “Low-Tier”-Cyberkriminelle verfügbar sind. Die geografische Ausweitung bleibt ein realistisches Szenario.

Ähnliche Artikel