Waspada TCLBanker: Malware Perbankan Baru yang Menyebar Otomatis via WhatsApp dan Outlook
Ancaman mematikan di ranah keamanan finansial kembali terdeteksi. Peneliti dari Elastic Security Labs baru saja menemukan trojan perbankan baru yang sangat canggih bernama TCLBanker.
Malware ini diketahui menargetkan 59 platform perbankan, fintech, dan mata uang kripto. Untuk menginfeksi sistem korban, peretas menyembunyikan TCLBanker di dalam installer MSI palsu yang menyamar sebagai aplikasi Logitech AI Prompt Builder.
Yang membedakan TCLBanker dari trojan perbankan biasa adalah kemampuannya sebagai worm—ia mampu mereplikasi dan menyebarkan dirinya sendiri secara otonom kepada kontak korban tanpa interaksi manual dari peretas.
Penyebaran Otomatis (Worm Modules)
TCLBanker memiliki dua modul utama untuk memastikan infeksi terus meluas layaknya parasit:
- Modul WhatsApp: Malware ini memindai profil browser Chromium untuk mencari data sesi (IndexedDB) dari WhatsApp Web yang sedang aktif. Setelah menemukannya, ia akan membajak akun tersebut di balik layar, memanen daftar kontak korban, dan mengirimkan pesan spam berisi tautan unduhan malware menggunakan akun korban.
- Modul Microsoft Outlook: Melalui eksploitasi fitur otomatisasi COM (Component Object Model) di Windows, malware ini meluncurkan aplikasi Outlook, mengumpulkan alamat email kontak, dan mengirimkan email phishing secara diam-diam.
Teknik Penyamaran Tingkat Tinggi
TCLBanker bukan sekadar pencuri data biasa; ia dibekali mekanisme pertahanan yang sangat agresif. Malware ini menggunakan teknik DLL side-loading untuk membonceng proses aplikasi Logitech yang sah, sehingga lolos dari radar perangkat lunak antivirus.
Selain itu, ia terus-menerus berburu dan mematikan alat analisis (seperti x64dbg, IDA, dnSpy, dan Ghidra) serta secara aktif membunuh proses Task Manager (Taskmgr.exe) saat ia sedang bekerja agar korban tidak bisa menghentikan aktivitas mencurigakan.
Pencurian Data dan Manipulasi Layar
Modul perbankan TCLBanker memantau bilah alamat browser (URL) setiap detik. Ketika korban membuka salah satu dari 59 situs bank atau fintech yang ditargetkan, malware langsung membuka sesi komunikasi dengan server peretas (C2) dan dapat melakukan tindakan berikut:
- Streaming layar langsung (Live screen streaming)
- Perekaman ketikan (Keylogging)
- Pembajakan papan klip (Clipboard hijacking)
- Kendali penuh atas mouse dan keyboard jarak jauh
Untuk memperdaya korban agar menyerahkan kode PIN atau data rahasia, malware ini menggunakan sistem overlay canggih. Layar akan memunculkan pop-up formulir “dukungan pelanggan bank” palsu, antarmuka pembaruan Windows (Windows Update) palsu, hingga overlay “cutout” transparan yang menutupi aplikasi asli untuk memanipulasi apa yang diklik oleh pengguna.
Target Saat Ini: Amerika Latin (Namun Bisa Meluas)
Menurut Elastic Security Labs, TCLBanker (yang berevolusi dari keluarga malware Maverick/Sorvepotel) saat ini masih memfokuskan serangannya di Brasil. Hal ini terlihat dari kode yang memeriksa zona waktu, tata letak keyboard, dan nomor telepon target.
Meski demikian, malware asal Amerika Latin (LATAM) memiliki rekam jejak yang sering kali diperbarui kodenya untuk diekspor ke target global. Fleksibilitas dan fitur canggih yang dimilikinya membuat TCLBanker menjadi ancaman nyata yang patut diwaspadai oleh pengguna Windows di seluruh dunia.
Sumber: Elastic Security Labs
