¿El Administrador de tareas no se abre y tu monedero está vacío? Enhorabuena: eres víctima del malware TCLBanker
Una sola descarga imprudente dejará tu dispositivo totalmente desprotegido.
Nuevo troyano bancario TCLBanker muestra cómo cambian rápidamente los programas maliciosos usados en ataques financieros. Los atacantes ya no se limitan a robar datos de un solo dispositivo infectado: el malware busca nuevos objetivos a través de las conversaciones y el correo de la víctima, convirtiendo contactos de confianza en un canal de propagación.
TCLBanker fue detectado por el equipo Elastic Security Labs. Según los especialistas, el troyano apunta a 59 plataformas bancarias, fintech y de criptomonedas. La infección comienza con un instalador MSI disfrazado de Logitech AI Prompt Builder. Tras la ejecución, el código malicioso se carga a través de la aplicación legítima de Logitech mediante sideloading de DLL, lo que ayuda a ocultar la actividad frente a las soluciones de seguridad.
Los autores del informe vinculan a TCLBanker con la familia Maverick/Sorvepotel y consideran la nueva amenaza un paso serio hacia adelante. Actualmente el troyano se orienta principalmente a Brasil: el malware comprueba la zona horaria, la distribución del teclado y la configuración regional. Al mismo tiempo, los especialistas recuerdan que los troyanos bancarios latinoamericanos ya han traspasado su geografía inicial, por lo que persiste el riesgo de expansión de los ataques.
TCLBanker está cuidadosamente protegido contra el análisis. El troyano utiliza un descifrado de la carga útil dependiente del entorno, por lo que el código puede no funcionar en una sandbox o en un entorno de laboratorio. El malware también busca continuamente herramientas como x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra y de4dot.
El módulo financiero comprueba cada segundo la barra de direcciones del navegador a través de la Windows UI Automation API. Cuando la víctima abre el sitio de una de las plataformas objetivo, el troyano se conecta con el servidor de comando por WebSocket, transmite datos del sistema y activa el control remoto. Los operadores pueden ver la pantalla, hacer capturas, registrar pulsaciones de teclas, sustituir el portapapeles, ejecutar comandos, gestionar archivos, procesos, el ratón y el teclado. Durante una sesión activa, TCLBanker finaliza «Administrador de tareas» para que la víctima no note lo que está ocurriendo.
Para robar datos, el troyano muestra ventanas falsas sobre las aplicaciones reales. Entre ellas, formularios para introducir credenciales, códigos PIN y números de teléfono, pantallas falsas de espera del «servicio de atención al cliente del banco», imitación de actualización de Windows y otros elementos de distracción.
Los módulos de autorreplicación representan un peligro especial. TCLBanker busca en los perfiles de Chromium datos de la sesión activa de WhatsApp Web, inicia una instancia oculta del navegador, accede a la cuenta de la víctima y envía mensajes a los contactos con números brasileños. Un esquema similar se aplica a Microsoft Outlook: el troyano usa la automatización COM, recopila las direcciones de contactos y remitentes, y luego envía correos de phishing desde la bandeja de entrada del usuario infectado.