Berita Terbaru

Trojan TCLBANKER Sebar Malware Lewat WhatsApp dan Email

Aplikasi WhatsApp

Aplikasi WhatsApp

Dunia keamanan siber kembali diguncang dengan munculnya malware baru bernama TCLBANKER. Trojan perbankan asal Brasil ini disebut memiliki kemampuan canggih untuk menyerang puluhan platform keuangan, termasuk layanan perbankan digital, fintech, hingga cryptocurrency. Yang membuat ancaman ini semakin berbahaya, malware tersebut memanfaatkan WhatsApp dan Microsoft Outlook sebagai sarana penyebaran utama.

Temuan ini diungkap oleh tim peneliti dari Elastic Security Labs yang melacak aktivitas malware tersebut dengan nama REF3076. Berdasarkan hasil investigasi, TCLBANKER diduga merupakan evolusi terbaru dari keluarga malware Maverick, yang sebelumnya dikenal menyebarkan worm SORVEPOTEL melalui WhatsApp Web.

Kampanye serangan ini juga dikaitkan dengan kelompok ancaman siber yang oleh Trend Micro disebut sebagai Water Saci. Para peneliti menilai TCLBANKER menunjukkan peningkatan kemampuan teknis yang jauh lebih matang dibanding generasi malware sebelumnya.

 

Menyamar Lewat Aplikasi Resmi Logitech

Salah satu teknik utama yang digunakan TCLBANKER adalah menyisipkan installer MSI berbahaya ke dalam file ZIP. Installer tersebut kemudian memanfaatkan aplikasi resmi milik Logitech bernama Logi AI Prompt Builder yang telah memiliki sertifikat digital resmi.

Teknik ini membuat malware terlihat seperti program legal sehingga lebih sulit dicurigai oleh pengguna maupun sistem keamanan. Setelah dijalankan, malware memanfaatkan metode DLL side-loading untuk menjalankan file berbahaya bernama “screen_retriever_plugin.dll”.

DLL tersebut berfungsi sebagai loader utama yang memiliki kemampuan anti-analisis tingkat tinggi. Malware dapat mendeteksi keberadaan debugger, sandbox, disassembler, hingga perangkat antivirus yang biasa digunakan peneliti keamanan untuk menganalisis ancaman siber.

Jika mendeteksi adanya aktivitas analisis, malware akan menghentikan proses eksekusi sehingga sulit dipelajari atau dibongkar oleh peneliti keamanan.

 

Punya Sistem Anti-Deteksi yang Sangat Canggih

Elastic menjelaskan bahwa TCLBANKER memiliki sistem pemeriksaan lingkungan yang sangat kompleks. Malware membuat sidik jari perangkat berdasarkan beberapa faktor, seperti kondisi anti-debugging, informasi disk sistem, virtualisasi, hingga bahasa sistem operasi.

Menariknya, malware ini dirancang khusus untuk menargetkan pengguna di Brasil. Hal tersebut terlihat dari pemeriksaan bahasa sistem yang memastikan perangkat korban menggunakan Portugis Brasil sebagai bahasa utama.

Data dari pemeriksaan tersebut kemudian digunakan untuk membuat hash lingkungan yang berfungsi sebagai kunci dekripsi payload malware. Jika ada komponen yang tidak sesuai, payload tidak akan bisa dibuka dan malware otomatis berhenti berjalan.

Cara kerja ini membuat TCLBANKER jauh lebih sulit dianalisis dibanding malware perbankan biasa.

 

Menargetkan Browser dan Situs Keuangan

Setelah berhasil aktif di perangkat korban, TCLBANKER akan membuat persistence melalui scheduled task agar tetap berjalan meski komputer direstart. Malware kemudian mengirim informasi dasar sistem ke server operator melalui koneksi HTTP POST.

Selanjutnya, malware mulai memantau aktivitas browser korban menggunakan teknologi UI Automation. TCLBANKER diketahui mampu mengambil URL aktif dari berbagai browser populer seperti:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Brave
  • Opera
  • Vivaldi

URL yang berhasil dideteksi akan dibandingkan dengan daftar target yang telah ditentukan di dalam malware. Daftar tersebut berisi 59 platform keuangan, termasuk bank dan layanan fintech.

Jika korban membuka salah satu situs target, malware langsung membuat koneksi WebSocket dengan server pengendali untuk menerima instruksi secara real-time.

 

Bisa Kendalikan Komputer Korban dari Jarak Jauh

TCLBANKER memiliki kemampuan yang sangat luas dalam mengambil alih sistem korban. Operator malware dapat melakukan berbagai tindakan berbahaya, antara lain:

  • Menjalankan perintah sistem
  • Mengambil screenshot layar
  • Menyalakan atau menghentikan streaming layar
  • Mengaktifkan keylogger
  • Memantau clipboard
  • Mengendalikan mouse dan keyboard dari jarak jauh
  • Mengelola file dan proses sistem
  • Menampilkan jendela palsu pencuri kredensial

Kemampuan ini membuat pelaku dapat memantau aktivitas korban secara langsung, termasuk saat pengguna mengakses layanan perbankan online atau aplikasi keuangan.

 

Gunakan Overlay Palsu untuk Mencuri Data

Untuk mencuri data login korban, TCLBANKER memakai teknik overlay berbasis Windows Presentation Foundation (WPF). Teknik ini memungkinkan malware menampilkan tampilan palsu yang menyerupai antarmuka resmi.

Korban dapat diperdaya melalui berbagai tampilan manipulatif seperti:

  • Form login palsu
  • Progress bar palsu
  • Layar pembaruan Windows palsu
  • Halaman tunggu verifikasi palsu
  • Prompt keamanan palsu

Metode rekayasa sosial semacam ini sangat efektif karena korban sering kali tidak menyadari bahwa tampilan yang muncul sebenarnya berasal dari malware.

Lebih berbahaya lagi, overlay tersebut disembunyikan dari alat perekam layar sehingga aktivitas penipuan sulit terdeteksi oleh sistem keamanan.

 

Sebar Malware Lewat WhatsApp dan Outlook

Salah satu fitur paling berbahaya dari TCLBANKER adalah kemampuan penyebarannya. Malware ini tidak hanya mencuri data, tetapi juga menyebarkan dirinya sendiri secara otomatis melalui WhatsApp dan Microsoft Outlook.

Pada WhatsApp Web, malware membajak sesi login korban yang sedang aktif di browser. Setelah itu, worm akan mengambil template pesan dari server dan mengirimkannya secara otomatis ke kontak korban menggunakan proyek open-source bernama WPPConnect.

Pesan tersebut biasanya berisi file installer trojan yang tampak meyakinkan. Malware bahkan memfilter grup, pesan broadcast, dan nomor non-Brasil agar penyebaran lebih terfokus.

Sementara itu, modul Outlook bekerja sebagai bot spam email. Malware memanfaatkan aplikasi Microsoft Outlook milik korban untuk mengirim email phishing menggunakan alamat email asli korban.

Karena email dikirim dari akun asli dan infrastruktur resmi, pesan menjadi jauh lebih sulit dikenali sebagai spam. Teknik ini membuat korban lain lebih mudah percaya dan membuka file berbahaya yang dikirimkan.

 

Bisa Menjangkau Ribuan Korban

Menurut Elastic, TCLBANKER dapat menyebarkan malware ke hingga 3.000 kontak milik korban melalui WhatsApp dan Outlook. Strategi ini dinilai sangat efektif karena memanfaatkan hubungan kepercayaan antar pengguna.

Korban yang menerima pesan cenderung menganggap file atau tautan aman karena berasal dari teman, rekan kerja, atau anggota keluarga mereka sendiri.

Elastic juga menyebut sistem keamanan email tradisional dan perlindungan berbasis reputasi sangat sulit mendeteksi pola serangan seperti ini karena malware menggunakan akun asli korban untuk menyebarkan infeksi.

 

Ancaman Baru yang Terus Berkembang

Peneliti menilai REF3076 masih berada pada tahap awal pengembangan. Hal itu terlihat dari adanya kode debug, nama proses uji coba, hingga situs phishing yang belum sepenuhnya selesai dibuat.

Meski begitu, kemampuan yang dimiliki TCLBANKER menunjukkan bahwa ekosistem trojan perbankan Brasil kini berkembang semakin canggih. Teknik yang sebelumnya hanya digunakan kelompok peretas tingkat tinggi kini mulai diadopsi malware kriminal umum.

Elastic memperingatkan bahwa model serangan yang memanfaatkan WhatsApp dan Outlook sebagai sarana distribusi dapat menjadi ancaman besar di masa depan. Selain sulit dideteksi, metode ini juga memanfaatkan rasa percaya pengguna terhadap komunikasi resmi dan kontak pribadi mereka sendiri.

Pengguna pun disarankan untuk lebih berhati-hati saat menerima file ZIP, installer aplikasi, maupun pesan mencurigakan melalui WhatsApp dan email, meskipun dikirim oleh kontak yang dikenal.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait