Nieuwe banking trojan Tclbanker verspreidt zichzelf via WhatsApp en Outlook

Tclbanker verspreidt zich via een geïnfecteerde installer. De malware zoekt op apparaten van slachtoffers naar actieve WhatsApp Web-sessies. Vanuit daar verstuurt het berichten naar maximaal 3.000 contacten, met daarin een link naar deze installer. Ook kaapt de malware het Outlook-account van een slachtoffer, om vanuit daar berichten te versturen met een link naar de malware. 

Daarnaast houdt de malware in de gaten of een slachtoffer een domein bezoekt die op de lijst met doelwitten staat. Als dat het geval is, onderneemt de malware actie om gegevens te stelen, zodat het toegang kan krijgen tot bankrekeningen en crypto-accounts. Aanvallers kunnen bijvoorbeeld screenshots maken, meekijken op het scherm, toetsenbordaanslagen loggen en shell commando's uitvoeren. Het is zelfs mogelijk om op afstand de muis en het toetsenbord aan te sturen. 

Ook kan Tclbanker valse schermen tonen aan gebruikers. Een gebruiker ziet dan bijvoorbeeld een door de aanvallers gemaakt scherm waarin om de inloggegevens wordt gevraagd. Ook wordt bijvoorbeeld een wachtscherm getoond, zodat gebruikers blijven wachten terwijl de aanvallers op de achtergrond hun acties uitvoeren.

Vroeg stadium

Opvallend is dat Tclbanker zich vooralsnog specifiek op Brazilië focust. De trojan controleert in welke tijdzone het slachtoffer zich bevindt, wat de toetsenbord-layout is en waar het systeem staat. Pas daarna activeert de malware zichzelf. 

Hoewel dat suggereert dat vooral Braziliaanse slachtoffers het doelwit zijn, waarschuwen de onderzoekers van Elastic dat de campagne zich verder kan gaan verspreiden. Zo zitten er nog ontwikkelaarsartefacten in de code, waaronder debug logging-paden en een onvolledige phishing-site. Volgens de onderzoekers betekent dat waarschijnlijk dat dit een vroege versie is van de campagne, en dat deze nog verder wordt opgebouwd. 

De volledige technische analyse van Tclbanker is te vinden op de website van Elastic.