TCLBanker – nowa era trojanów bankowych wspieranych przez AI

Eksperci ds. bezpieczeństwa biją na alarm przed TCLBanker – nowym, niezwykle groźnym trojanem bankowym, który łączy funkcje kradzieży danych z mechanizmami autonomicznego robaka. Złośliwe oprogramowanie bierze na celownik blisko 60 platform finansowych, w tym giełdy kryptowalut, wykorzystując do infekcji zaufane aplikacje i kontakty ofiary.

Wyrafinowana metoda ataku: Trojan ukryty w oprogramowaniu Logitech

Badacze z Elastic Security Labs odkryli, że TCLBanker stanowi ewolucję starszego zagrożenia o nazwie Maverick, jednak jego obecna forma jest znacznie bardziej niebezpieczna. Głównym wektorem infekcji jest zmanipulowany instalator popularnego narzędzia „Logitech AI Prompt Builder”. Napastnicy stosują tu wyrafinowaną technikę DLL Side-Loading.

Dzięki temu złośliwy kod uruchamia się w kontekście legalnej aplikacji Logitech, co skutecznie usypia czujność tradycyjnych programów antywirusowych. TCLBanker nie ogranicza się tylko do tradycyjnej bankowości. Na liście 59 celów znajdują się zarówno klasyczne banki, jak i nowoczesne usługi fintech oraz giełdy kryptowalut.

Hybryda trojana i robaka: Jak TCLBanker przejmuje Twoje kontakty?

To, co wyróżnia TCLBanker na tle innych zagrożeń, to jego zdolność do samodzielnego rozprzestrzeniania się. Dzięki temu upodabnia się do klasycznych robaków komputerowych. Malware posiada moduły zaprojektowane specjalnie do nadużywania WhatsApp Web oraz Microsoft Outlook. Po zainfekowaniu systemu trojan skanuje listy kontaktów i bez wiedzy użytkownika rozsyła wiadomości phishingowe lub zainfekowane linki.

Wykorzystując zaufanie między znajomymi czy współpracownikami, hakerzy drastycznie zwiększają szansę na kolejne udane infekcje. Co ciekawe, analiza kodu sugeruje, że przy tworzeniu TCLBanker mogły posłużyć systemy sztucznej inteligencji. To tłumaczy wysoką jakość i skuteczność skryptów.

Całkowita kontrola nad komputerem i fałszywe nakładki

Gdy TCLBanker zagnieździ się w systemie, zaczyna co sekundę monitorować pasek adresu przeglądarki użytkownika. Jeśli ofiara wejdzie na jedną z obserwowanych stron finansowych, trojan natychmiast nawiązuje połączenie z serwerem przestępców, przekazując im niemal pełną kontrolę nad maszyną. Atakujący mogą śledzić ekran w czasie rzeczywistym, rejestrować naciśnięcia klawiszy oraz zdalnie sterować myszą i klawiaturą.

Najbardziej perfidnym elementem ataku jest system fałszywych nakładek. Ofiarom wyświetlane są łudząco podobne do oryginałów maski wprowadzania kodów PIN lub haseł. Podczas gdy w tle ich konta są systematycznie okradane. Aby utrudnić usunięcie zagrożenia, trojan blokuje dostęp do systemowego Menedżera zadań Windows.

Czy grozi nam globalna fala infekcji?

Choć obecnie TCLBanker koncentruje się głównie na użytkownikach w Brazylii, eksperci ostrzegają, że to dopiero początek. Historia pokazuje, że złośliwe oprogramowanie z Ameryki Łacińskiej niezwykle szybko ewoluuje i trafia na rynki globalne. Ze względu na dużą odporność na narzędzia analityczne oraz innowacyjne połączenie funkcji kradzieży z automatyczną dystrybucją, TCLBanker stanowi obecnie jedno z najpoważniejszych wyzwań dla międzynarodowego bezpieczeństwa IT.