Logic Community – Sebuah malware perbankan baru bernama TCLBanker ditemukan menyebar otomatis melalui WhatsApp dan Microsoft Outlook. Malware ini diketahui menargetkan puluhan platform perbankan, fintech, dan layanan cryptocurrency, dengan fokus utama pada pengguna di Brasil.
Peneliti keamanan dari Elastic Security Labs mengungkap bahwa TCLBanker merupakan evolusi baru dari keluarga malware Maverick/Sorvepotel. Malware tersebut disebarkan menggunakan installer palsu aplikasi Logitech AI Prompt Builder yang telah dimodifikasi untuk menyisipkan file berbahaya ke sistem korban.
Aktivitas malware ini juga terdeteksi menyasar sejumlah negara seperti Brazil dan di beberapa kawasan Amerika Latin, termasuk Meksiko, Argentina, Chili, Peru, Kolombia, Ekuador, Panama, hingga Kepulauan Cayman. Peneliti menyebut pola penyebaran dan target finansialnya menunjukkan fokus kuat pada ekosistem perbankan dan fintech di wilayah LATAM.
Setelah berhasil menginfeksi perangkat, TCLBanker dapat memantau aktivitas browser korban dan mendeteksi ketika pengguna membuka situs bank atau layanan finansial tertentu. Malware kemudian membuka koneksi ke server penyerang untuk menjalankan aksi pencurian data dan kendali jarak jauh terhadap perangkat korban.
Salah satu kemampuan paling berbahaya dari TCLBanker adalah fitur penyebaran otomatisnya. Malware ini memiliki modul worm yang dapat mengirim pesan berisi file berbahaya melalui WhatsApp menggunakan sesi browser korban yang sudah login. Selain itu, malware juga dapat mengirim email phishing melalui Microsoft Outlook memakai akun email korban sendiri.
Untuk mengelabui pengguna, TCLBanker juga mampu menampilkan overlay palsu seperti halaman login bank, keypad PIN, layar update Windows, hingga halaman layanan bantuan bank. Tampilan palsu tersebut dibuat menyerupai aplikasi asli agar korban tanpa sadar memasukkan informasi sensitif mereka.
Peneliti menyebut malware ini dilengkapi berbagai teknik anti-analisis yang membuatnya sulit dideteksi di lingkungan sandbox maupun perangkat analisis malware. TCLBanker juga memantau keberadaan berbagai tools keamanan seperti IDA, x64dbg, Ghidra, hingga Process Hacker untuk menghindari proses investigasi.
Meski saat ini serangan lebih banyak menargetkan wilayah Amerika Latin, peneliti memperingatkan bahwa malware seperti TCLBanker berpotensi diperluas ke negara lain di masa mendatang. Pengguna disarankan untuk tidak mengunduh file dari pesan mencurigakan, memperbarui sistem keamanan perangkat, dan mengaktifkan autentikasi tambahan pada akun finansial mereka.
