Sicherheitsforscher haben einen hochentwickelten Banking-Trojaner entdeckt, der sich autonom über Messaging-Dienste verbreitet. Die von Elastic Security Labs unter dem Codenamen REF3076 verfolgte Malware nutzt legitime Geschäftstools, um traditionelle Sicherheitsmaßnahmen zu umgehen. Im Visier: Nutzer von Dutzenden Finanzplattformen.
Der Schädling namens TCLBANKER stellt eine Weiterentwicklung der Malware-Familien Maverick und Sorvepotel dar, die bislang mit der brasilianischen Hackergruppe Water Saci in Verbindung gebracht wurden. Bereits Anfang der Woche beobachteten Analysten, wie die Malware eine manipulierte Installationsdatei einer populären KI-Anwendung nutzte, um sich auf den Rechnern der Opfer festzusetzen.
Banking, PayPal und WhatsApp — auf keinem Gerät sind unsere persönlichen Daten so gefährdet wie auf dem Smartphone, wenn Trojaner aktiv werden. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Gerät effektiv vor Hackern und Viren zu schützen. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt entdecken
Eigenständige Verbreitung durch integrierte Wurm-Module
Das besondere Merkmal von TCLBANKER: Seine integrierten Wurm-Module ermöglichen eine Verbreitung ohne direktes Zutun der Angreifer. Die Malware zielt gezielt auf authentifizierte WhatsApp-Web-Sitzungen ab. Durch das Auslesen von Chromium-Browser-Profilen – inklusive IndexedDB und Cookies – kann der Trojaner aktive Logins klonen und für sich nutzen.
Ist die Sitzung erst einmal gekapert, startet die Malware eine unsichtbare Browser-Instanz, um Phishing-Nachrichten und infizierte Dateien an die Kontakte des Opfers zu senden. Da diese Nachrichten von vertrauenswürdigen Absendern stammen, ist die Wahrscheinlichkeit hoch, dass Empfänger die schädlichen Anhänge öffnen. Berichten zufolge kann der Wurm pro infiziertem Gerät bis zu 3.000 Kontakte anschreiben.
Doch damit nicht genug: Ein weiteres Modul missbraucht Microsoft Outlook über COM-Automation. Der Trojaner übernimmt die lokale E-Mail-Anwendung, sammelt Kontaktlisten und versendet authentifizierte Phishing-Mails. Da die Nachrichten aus der eigenen E-Mail-Infrastruktur des Opfers stammen, umgehen sie zuverlässig alle reputationsbasierten Filter und Spam-Sperren.
Tarnung als KI-Software und ausgeklügelte Abwehrmechanismen
Die Erstinfektion erfolgt in der Regel über eine schädliche ZIP-Datei, die einen manipulierten MSI-Installer enthält. Dieser tarnt sich als legitimes Tool namens Logi AI Prompt Builder. Zur Tarnung setzt die Malware auf DLL-Side-Loading: Eine schädliche Datei namens screen_retriever_plugin.dll wird neben die echte Logitech-Anwendung gelegt. Startet der Nutzer den Installer, wird der bösartige Code im Kontext eines vertrauenswürdigen Prozesses ausgeführt.
TCLBANKER verfügt über eine beeindruckende Palette an Anti-Analyse- und Anti-Debugging-Funktionen. Die Forscher stellten fest, dass die Malware eine umgebungsabhängige Payload-Verschlüsselung einsetzt. Sie aktiviert sich nur auf Systemen, die bestimmte Kriterien erfüllen – etwa ein brasilianisch-portugiesisches Tastaturlayout und entsprechende Regionaleinstellungen. Erkennt die Malware eine Sandbox, eine virtuelle Maschine oder eine Analyseumgebung, entschlüsselt sie ihre Hauptnutzlast nicht und hinterlässt keine verwertbaren Spuren.
Ein hartnäckiger Watchdog-Thread überwacht zudem das System auf gängige Analysetools wie x64dbg, Ghidra oder ProcessHacker. Werden diese Programme entdeckt, stellt der Trojaner sofort seinen Betrieb ein. Darüber hinaus nutzt die Malware die SetWindowDisplayAffinity-API, um ihre betrügerischen Overlays für Bildschirmaufnahmen unsichtbar zu machen – Beweissicherung wird so nahezu unmöglich.
59 Finanzplattformen im Visier – Overlays täuschen Logins vor
Das Banking-Modul von TCLBANKER überwacht sekündlich die Adressleiste des Browsers. Mithilfe der Windows-UI-Automation-APIs erkennt es, wann ein Nutzer eine von 59 gezielten Banking-, Fintech- oder Kryptoplattformen aufruft. Sobald eine Zielseite identifiziert ist, baut die Malware eine WebSocket-Verbindung zu ihrem Command-and-Control-Server auf und leitet die Fernsteuerung ein.
Die Angreifer setzen auf ein Framework auf Basis von Windows Presentation Foundation (WPF), um bildschirmfüllende Overlays einzublenden. Diese täuschen legitime Banking-Login-Prompts, PIN-Tastaturen oder sogar gefälschte Windows-Update-Bildschirme vor. Die Oberflächen können den Desktop des Nutzers einfrieren, Tastenkombinationen wie die Windows-Taste oder Escape blockieren und das Opfer so zur Eingabe seiner Daten zwingen.
In einigen Fällen kommen sogenannte „Cutout“-Overlays zum Einsatz. Diese lassen bestimmte Bereiche einer echten Anwendung sichtbar, während andere Teile maskiert werden – eine besonders perfide Form des Social Engineerings. Während aktiver Sitzungen ist die Malware zu Live-Screen-Streaming, Keylogging und Clipboard-Hijacking fähig. Die Betreiber haben damit die vollständige Kontrolle über die Finanztransaktionen ihrer Opfer.
Brasilianischer Fokus mit internationalem Potenzial
Die Entstehung von TCLBANKER unterstreicht die wachsende Professionalität des lateinamerikanischen Cyberkriminalitäts-Ökosystems. Die Analysten von Elastic Security Labs bezeichnen die Malware als Paradebeispiel dafür, wie hochentwickelte Funktionen zunehmend auch für weniger versierte Kriminelle zugänglich werden. Zwar konzentriert sich die aktuelle Kampagne stark auf Brasilien, doch Experten warnen: Der modulare Aufbau des Codes macht eine Anpassung an andere Regionen und Sprachen einfach.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für moderne Banking-Trojaner und andere Schadsoftware. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Android-Updates Sicherheitslücken schließen und Ihre privaten Daten dauerhaft vor Malware schützen. Kostenlosen Sicherheits-Report für Android-Nutzer sichern
Die Tarnung als KI-Software folgt einem breiteren Trend: Cyberkriminelle nutzen die Popularität neuer Technologien gezielt als Köder. Die Forscher beobachteten zudem, dass bestimmte Code-Artefakte darauf hindeuten, dass die Malware-Entwickler selbst KI-gestützte Workflows bei der Erstellung des Trojaners eingesetzt haben.
Die Infrastruktur der Kampagne setzt derzeit auf Cloudflare Workers, was den Betreibern ermöglicht, ihre File-Serving- und Command-and-Control-Punkte schnell zu rotieren. Zum Zeitpunkt der aktuellen Analyse fanden die Forscher Hinweise auf unvollständige Phishing-Seiten und Debug-Logging-Pfade – ein Zeichen, dass die Täter die Malware noch aktiv für eine breitere Verteilung verfeinerund.
Schutzmaßnahmen: Verhaltensüberwachung statt Datei-Signaturen
Angesichts der rasanten Verbreitung von TCLBANKER raten Sicherheitsexperten Unternehmen zu einem Strategiewechsel. Statt sich allein auf dateibasierte Signaturen zu verlassen, sollten Organisationen auf verhaltensorientierte Überwachung setzen. Da die Malware vertrauenswürdige Kommunikationskanäle wie WhatsApp und Outlook kapert, werden traditionelle Perimeter-Verteidigungssysteme regelmäßig umgangen.
Zu den empfohlenen Gegenmaßnahmen gehören die Durchsetzung strenger Endpunkt-Kontrollen und die Überwachung verdächtiger DLL-Side-Loading-Aktivitäten. Nutzer sollten bei MSI-Installern und ZIP-Archiven aus Messaging-Plattformen besonders vorsichtig sein – selbst wenn der Absender ein bekannter Kontakt zu sein scheint.
Branchenanalysten erwarten, dass die Betreiber hinter REF3076 ihre Zielplattformen über die ursprünglichen 59 Dienste hinaus erweitern werden. Die Fähigkeit der Malware, Verteidiger durch die Display-Affinity-Einstellungen zu blenden, bleibt eine der größten Herausforderungen für Incident-Responder. Die Rekonstruktion betrügerischer Transaktionen gestaltet sich dadurch extrem schwierig.
