Un grupo de investigadores de seguridad de Elastic Security Labs, ha detectado una nueva amenaza que se propaga a través de WhatsApp y Outlook. Puedes ver su informe, publicado con fecha de 7 de mayo en su web oficial. Se trata de TCLBanker, un troyano bancario que tiene la capacidad de atacar a múltiples plataformas de bancos, criptomonedas y de finanzas. Se disfraza de software legítimo, lo que hace que sea un verdadero peligro.
Vamos a explicarte cómo actúa y qué debes hacer para protegerte. El objetivo es que mantengas a salvo tus dispositivos y no caigas en la trampa de esta amenaza o cualquier otra similar que pueda robar tus datos bancarios, información personal o comprometer el buen funcionamiento de tus sistemas. Como vas a ver, este malware cuenta con módulos autopropagantes a través de WhatsApp y Outlook, lo que puede hacer que llegue a muchas posibles víctimas.
Nueva amenaza que llega por WhatsApp
Los investigadores de Elastic Security Labs creen que esta amenaza es una evolución de otra familia de malware anterior conocida como Maverick/Sorvepotel. Por el momento, eso sí, esta amenaza parece que apunta a usuarios de Brasil. Sin embargo, no descartan que TCLBanker comience a tener como objetivo personas de otros países, por lo que es importante estar preparados.
También han indicado que esta amenaza está muy bien diseñada y que está protegida para no ser detectada. Este malware se carga dentro del contexto de la aplicación legítima de Logitech mediante la carga lateral de DLL, por lo que no activará ninguna alarma de los antivirus que puedan estar instalados en el equipo infectado.
Lo que hace el módulo bancario de esta amenaza, es monitorizar la barra de direcciones del navegador cada segundo, a través de las API de automatización de la interfaz, y así detectar si la víctima abre una página web de alguna de sus plataformas objetivo, que son, en total, 59 (todas ellas de Brasil, por ahora). Cuando detecta esto, puede llevar a cabo estas tareas:
- Realizar capturas de pantalla.
- Grabar la pantalla en directo.
- Registrar las pulsaciones del teclado.
- Secuestrar el portapapeles.
- Ejecutar comandos de shell.
- Acceder a la administración de ventanas.
- Acceder al sistema de archivos.
- Controlar el teclado y ratón.
Cómo protegerte
TCLBanker tiene la capacidad de propagarse de forma autónoma a los contactos de la víctima. Puede buscar perfiles en el navegador y acceder a WhatsApp Web, por lo que secuestra la cuenta y empieza a propagarse a otros. Puede llegar a detectar contactos y enviar mensajes fraudulentos.
También puede utilizar Outlook para propagarse por ahí. Tiene un módulo que permite recopilar contactos, direcciones y, de esta forma, enviar correos Phishing desde el propio e-mail de la víctima.
Para protegerte de todo esto, es fundamental tener mucho cuidado a la hora de instalar software. Nunca debes instalar software desde enlaces sospechosos, siempre debes verificar el origen y desconfiar de mensajes que, incluso, lleguen de parte de tus contactos. Esa persona podría haber sido atacada previamente.
Es clave que tengas tu dispositivo correctamente actualizado. Asegúrate de contar con las últimas versiones, ya que esto evitará que los atacantes puedan explotar fallos. Es algo que debes aplicar al sistema operativo, pero también a cualquier software que tengas instalado, como podría ser el navegador.
Igualmente, contar con un buen antivirus es fundamental. Utiliza siempre uno de garantías, que te permita detectar y eliminar amenazas. Opciones como Bitdefender, Avast o el propio Microsoft Defender, son buenas soluciones.
Preguntas frecuentes
¿Qué es exactamente TCLBanker y qué puede hacer?
TCLBanker es un troyano bancario detectado por Elastic Security Labs que puede realizar capturas de pantalla, grabar la pantalla en directo, registrar pulsaciones del teclado, secuestrar el portapapeles, ejecutar comandos de shell y controlar el teclado y ratón del dispositivo infectado.
¿Cómo se propaga TCLBanker a otros usuarios?
TCLBanker cuenta con módulos autopropagantes que acceden a WhatsApp Web a través de los perfiles del navegador y envían mensajes fraudulentos a los contactos de la víctima. También puede utilizar Outlook para recopilar contactos y enviar correos de phishing desde la propia cuenta infectada.
¿Cuántas plataformas bancarias son objetivo de este malware?
Según el informe de Elastic Security Labs, TCLBanker monitoriza un total de 59 plataformas objetivo, incluyendo bancos, servicios de criptomonedas y entidades financieras. El malware comprueba la barra de direcciones del navegador cada segundo para detectar si la víctima accede a alguna de ellas.
