Thought Leadership
Die neue Malware TCLBanker attackiert 59 Finanzplattformen. Der Trojaner nutzt eine Logitech-App zur Infektion und verbreitet sich autonom über WhatsApp und Outlook.
Sicherheitsforscher von Elastic Security Labs haben einen hochspezialisierten Banking-Trojaner identifiziert, der eine neue Stufe der Autonomie bei der Verbreitung erreicht. Die als „TCLBanker“ klassifizierte Malware zielt auf insgesamt 59 Banken, Fintech-Dienstleister und Kryptowährungsplattformen ab. Neben klassischen Spionagefunktionen verfügt der Trojaner über Wurm-Module, die es ihm ermöglichen, sich eigenständig über die Kommunikationsdienste WhatsApp und Microsoft Outlook weiterzuverbreiten. Technisch wird TCLBanker als Weiterentwicklung der älteren Maverick- bzw. Sorvepotel-Malware-Familie eingestuft.
Infektionsweg über manipulierte Logitech-Software
Die Infektion der Zielsysteme erfolgt über einen trojanisierten MSI-Installer für den „Logitech AI Prompt Builder“. Die Angreifer nutzen hierbei eine legitime Anwendung als Deckmantel, um Sicherheitssoftware zu umgehen. Sobald das Paket ausgeführt wird, kommt die Technik des „DLL Side-Loading“ zum Einsatz.
Dabei wird eine schädliche DLL-Datei im Kontext der legitimen Logitech-Anwendung geladen. Da der Prozess als vertrauenswürdig eingestuft wird, schlagen viele signaturbasierte Schutzprogramme nicht an. Erste Analysen des Codes deuten darauf hin, dass die Entwickler der Malware bei der Erstellung des Loaders möglicherweise auf Unterstützung durch Künstliche Intelligenz zurückgegriffen haben, da bestimmte Code-Artefakte entsprechende Muster aufweisen.
Starker Schutz gegen Analysen und Debugging
TCLBanker zeichnet sich durch einen außergewöhnlich starken Schutz gegen Analysen und Debugging aus. Die Malware nutzt umgebungsabhängige Entschlüsselungsroutinen für ihre Payloads. Das bedeutet, dass der Schadcode in Sandboxes oder Analyse-Umgebungen von Sicherheitsforschern nicht entschlüsselt werden kann, da dort spezifische Hardware- oder Systemparameter fehlen, die auf einem echten Opfersystem vorhanden sind.
Zusätzlich führt der Trojaner einen permanenten „Watchdog-Thread“ aus. Dieser Prozess sucht kontinuierlich nach aktiven Analyse-Werkzeugen im System. Identifiziert werden unter anderem:
- x64dbg und IDA (Debugger/Disassembler)
- Ghidra und dnSpy (Reverse-Engineering-Tools)
- ProcessHacker und Frida (Monitoring- und Hooking-Tools) Wird eines dieser Werkzeuge entdeckt, stellt die Malware ihre Aktivität ein oder manipuliert ihre Ausführung, um einer Entdeckung zu entgehen.
Überwachung der Browser-Aktivitäten via UI-Automation
Sobald TCLBanker ein System erfolgreich infiziert hat, aktiviert er sein Banking-Modul. Anstatt auf klassisches Form-Grabbing zu setzen, nutzt die Malware die „Windows UI Automation APIs“. Das System überwacht im Sekundentakt die Adresszeile des Webbrowsers. Sobald der Nutzer eine Webseite öffnet, die zu einer der 59 überwachten Plattformen gehört, wird eine WebSocket-Sitzung zum Command-and-Control-Server (C2) der Angreifer aufgebaut.
In diesem Moment beginnt die Fernsteuerung des Systems. Den Betreibern der Malware stehen umfassende Funktionen zur Verfügung, darunter Live-Streaming des Bildschirms, Keylogging (Aufzeichnen von Tastatureingaben) und das Auslesen der Zwischenablage (Clipboard Hijacking). Um eine Entdeckung während einer aktiven Sitzung durch den Nutzer zu verhindern, beendet die Malware gezielt den Windows Task-Manager, falls dieser gestartet wird.
Malware nutzt „Cutour“-Overlays
Zur Durchführung von Überweisungen und zum Diebstahl von Zugangsdaten nutzt TCLBanker ein ausgeklügeltes Overlay-System auf Basis der Windows Presentation Foundation (WPF). Die Malware kann dem Opfer täuschend echte Fenster über das eigentliche Browserfenster legen. Dazu gehören:
- Gefälschte PIN-Eingabemasken und Telefonnummern-Abfragen
- Warteseiten eines vermeintlichen Bank-Supports
- Gefälschte Windows-Update-Bildschirme, um den Nutzer von weiteren Aktionen abzuhalten
Besonders effizient sind die sogenannten „Cutout“-Overlays. Diese lassen nur bestimmte Bereiche der echten Bank-Anwendung sichtbar und verdecken andere Teile mit manipulierten Inhalten. So wird dem Nutzer suggeriert, er befinde sich in einer sicheren Umgebung, während im Hintergrund bereits Transaktionsdaten geändert werden.
Die Wurm-Komponente: Infektion über WhatsApp und Outlook
Das markanteste Merkmal von TCLBanker ist seine Fähigkeit zur autonomen Selbstreplikation. Die Malware sucht in Chromium-basierten Browserprofilen nach authentifizierten Daten von „WhatsApp Web“ (IndexedDB-Daten). Mit diesen Informationen startet der Trojaner eine versteckte Browserinstanz und kapert das WhatsApp-Konto des Opfers. Anschließend werden Kontakte gefiltert und mit Spam-Nachrichten kontaktiert, die Links zu den Distributionsplattformen von TCLBanker enthalten.
Parallel dazu missbraucht ein weiteres Modul Microsoft Outlook mittels COM-Automatisierung. Die Malware greift auf das Adressbuch zu und versendet Phishing-E-Mails im Namen des Opfers an alle gespeicherten Kontakte. Da die Nachrichten von einer vertrauenswürdigen Quelle stammen, ist die Wahrscheinlichkeit hoch, dass Empfänger die infizierten Anhänge öffnen.
Ausbreitung von Brasilien weltweit möglich
Derzeit scheint der Fokus der Angreifer primär auf Brasilien zu liegen. Die Malware prüft vor der Aktivierung explizit die Zeitzone, das Tastaturlayout und die lokalen Spracheinstellungen (Locale) des Systems. Zudem filtert das WhatsApp-Modul gezielt nach brasilianischen Telefonnummern.
Sicherheitsexperten warnen jedoch, dass Malware aus der LATAM-Region (Lateinamerika) in der Vergangenheit häufig nach erfolgreichen Testläufen auf andere Regionen ausgeweitet wurde. Die modulare Architektur von TCLBanker erlaubt es den Hintermännern, die Ziellisten der Banken und die geografischen Filter jederzeit anzupassen. Elastic Security Labs betont, dass TCLBanker ein bezeichnendes Beispiel für die Professionalisierung von Malware ist, die früher nur hochspezialisierten Akteuren vorbehalten war und nun auch kriminellen Gruppen der unteren Ebenen zur Verfügung steht.
