TCLBanker wird über DLL-Side-Loading im Kontext der legitimen Logitech-Anwendung geladen. Dadurch schlägt bei den Sicherheitsprodukten auf dem infizierten Rechner kein Alarm an. Um eine Analyse zu erschweren, betreibt die Malware zudem einen dauerhaften Watchdog-Thread, der laufend nach Analysewerkzeugen wie x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra und de4dot sucht.

Die Forscher merken an, dass der Loader zwar funktionsreich ist, keine seiner Fähigkeiten jedoch wirklich fortgeschritten ausfällt. Code-Spuren deuten darauf hin, dass bei der Entwicklung möglicherweise KI zum Einsatz kam.

Das eigentliche Banking-Modul überwacht im Sekundentakt die Adressleiste des Browsers über die Windows-UI-Automation-Schnittstellen und wartet darauf, dass das Opfer eine der 59 anvisierten Plattformen öffnet. Geschieht dies, baut die Malware eine WebSocket-Verbindung zum Command-and-Control-Server (C2) auf, übermittelt Opfer- und Systemdaten und startet die Fernsteuerung. Während einer aktiven Sitzung wird der Task-Manager-Prozess beendet, um Störungen zu verhindern und die schädliche Aktivität vor dem Opfer zu verbergen.

Für den Datendiebstahl setzt TCLBanker auf ein WPF-basiertes Overlay-System. Damit lassen sich gefälschte Eingabemasken für Zugangsdaten, PIN-Tastenfelder, Formulare zur Erfassung von Telefonnummern, nachgeahmte Warteschirme eines vermeintlichen „Bank-Supports", falsche Windows-Update-Bildschirme und diverse gefälschte Fortschrittsanzeigen einblenden. Daneben gibt es „Cutout"-Overlays, die im Vordergrund bleiben und dem Opfer nur ausgewählte Teile echter Anwendungen zeigen, während andere Bereiche verdeckt werden.

Eine Besonderheit von TCLBanker ist die Fähigkeit, sich eigenständig an Kontakte des Erstopfers weiterzuverbreiten. Dazu durchsucht die Malware Chromium-Browserprofile nach authentifizierten IndexedDB-Daten von WhatsApp Web und startet eine versteckte Chromium-Instanz, die das Konto des Opfers übernimmt. Anschließend sammelt sie Kontakte ein, filtert nach brasilianischen Rufnummern und versendet aus dem Konto des Opfers Spam-Nachrichten, die zu den Verteilplattformen von TCLBanker führen.

Ein zweites Wurmmodul missbraucht Microsoft Outlook über COM-Automation: Es startet die Anwendung, greift Kontakte und Absenderadressen ab und verschickt Phishing-Mails über das E-Mail-Konto des Opfers.

Elastic wertet TCLBanker als typisches Beispiel für die Entwicklung lateinamerikanischer Schadsoftware, die Cyberkriminellen der unteren Ränge Funktionen verfügbar macht, die einst nur hochentwickelten Werkzeugen vorbehalten waren.