Introduktion
Hackere målretter angiveligt 59 bank-, fintech- og kryptovaluta-platforme, mens de spreder sig gennem populære applikationer som WhatsApp og Outlook. En trojaner kaldet TCLBanker rammer Windows-systemer gennem inficerede Microsoft-installationspakker, rapporterer BleepingComputer.
Opdagelse og udvikling
TCLBanker blev opdaget af Elastic Security Labs, hvis forskere mener, at det er en betydelig udvikling af den ældre Maverick og Sorvepotel malwarefamilie. Rapporten angiver, at TCLBanker tjekker inficerede enheder for tidszone, tastaturlayout og lokalitet.
Funktioner og kapaciteter
Malware’en inkluderer orm-moduler, der gør det muligt for den at sprede sig automatisk gennem WhatsApp og Microsoft Outlook. Når et målrettet websted åbnes, opretter malware’en en WebSocket-session med sin kommandocentral og begynder fjernkontroloperationer.
Operatørmuligheder
Operatørmulighederne for malware’en inkluderer:
- Live skærmstreaming
- Screenshots
- Keylogging
- Clipboard hijacking
- Udførelse af shell-kommandoer
- Adgang til filsystemet
- Fjernkontrol af mus og tastatur
Indsamling af følsomme oplysninger
TCLBanker anvender også falske overlay-skærme til at indsamle legitimationsoplysninger, PIN-koder, telefonnumre og anden følsom information. Disse overlays kan inkludere:
- Falske legitimationsprompt
- PIN-tastaturer
- Banksupport venteskærme
- Windows Update-skærme
- Falske fremskridtskærme
Målretning og overvågning
BleepingComputer rapporterer, at TCLBanker ser ud til at målrette apps i Brasilien og overvåger et offers browseradressefelt hvert sekund for at holde øje med besøg på en af sine 59 målrettede platforme.
