Un equipo de expertos en seguridad de Elastic Security Labs ha identificado una nueva amenaza que se difunde a través de WhatsApp y Outlook. Puedes consultar su informe, publicado el 7 de mayo en su sitio oficial. Se trata de TCLBanker, un troyano bancario que puede atacar diversas plataformas de bancos, criptomonedas y servicios financieros. Su capacidad de disfrazarse de software legítimo lo convierte en un grave riesgo.
A continuación, te explicaremos cómo funciona y qué medidas puedes tomar para protegerte. El objetivo es que tus dispositivos permanezcan seguros y que evites caer en las garras de esta amenaza o de otras similares que buscan robar tus datos bancarios y personales, así como comprometer el funcionamiento de tus sistemas. Como verás, este malware incluye módulos que se propagan de manera autónoma a través de WhatsApp y Outlook, lo que aumenta el riesgo de que afecte a muchos usuarios.
Nueva amenaza que se propaga por WhatsApp
Los investigadores de Elastic Security Labs creen que esta amenaza representa una evolución de una familia de malware anterior conocida como Maverick/Sorvepotel. Actualmente, parece que TCLBanker tiene como objetivo principal a los usuarios en Brasil, aunque no se descarta que en el futuro pueda extenderse a otros países, por lo que es crucial estar alerta.
Asimismo, han señalado que esta amenaza está muy bien diseñada y es capaz de evadir la detección. Este malware se oculta dentro de la aplicación legítima de Logitech mediante la carga lateral de DLL, lo que evita que se activen las alarmas de los antivirus que estén instalados en el dispositivo comprometido.
El módulo bancario de esta amenaza se encarga de monitorizar la barra de direcciones del navegador cada segundo a través de las API de automatización de la interfaz, para detectar si la víctima abre una página web de alguna de las plataformas objetivo, que actualmente suman 59 (todas en Brasil). Al detectar esto, puede llevar a cabo las siguientes acciones:
- Capturar pantallas.
- Grabar la pantalla en tiempo real.
- Registrar las pulsaciones del teclado.
- Secuestrar el contenido del portapapeles.
- Ejecutar comandos de shell.
- Acceder a la gestión de ventanas.
- Acceder al sistema de archivos.
- Controlar el teclado y el ratón.
Cómo protegerte
TCLBanker tiene la capacidad de propagarse automáticamente a los contactos de la víctima. Puede buscar perfiles en el navegador y acceder a WhatsApp Web, lo que le permite tomar control de la cuenta y comenzar a propagarse a otros usuarios. Puede detectar contactos y enviar mensajes fraudulentos.
Además, puede utilizar Outlook para expandirse. Cuenta con un módulo que le permite recopilar contactos y direcciones, facilitando el envío de correos Phishing desde la cuenta de correo de la víctima.
Para protegerte de estas amenazas, es fundamental tener especial cuidado al instalar software. Nunca instales aplicaciones desde enlaces sospechosos; siempre debes verificar su origen y desconfiar de mensajes que provengan incluso de tus contactos, ya que esa persona podría haber sido comprometida previamente.
Es esencial mantener tu dispositivo actualizado. Asegúrate de tener las versiones más recientes, ya que esto ayuda a prevenir que los atacantes aprovechen vulnerabilidades. Esto aplica tanto al sistema operativo como a cualquier otro software que utilices, como tu navegador.
Asimismo, contar con un antivirus eficaz es crucial. Utiliza siempre uno confiable que pueda detectar y eliminar amenazas. Opciones como Bitdefender, Avast o Microsoft Defender son excelentes alternativas.
Preguntas frecuentes
¿Qué es TCLBanker y qué capacidades tiene?
TCLBanker es un troyano bancario identificado por Elastic Security Labs, capaz de realizar capturas de pantalla, grabar en vivo, registrar pulsaciones del teclado, secuestrar el portapapeles, ejecutar comandos de shell y controlar el teclado y ratón del dispositivo infectado.
¿Cómo se propaga TCLBanker a otros usuarios?
TCLBanker contiene módulos que se propagan automáticamente, accediendo a WhatsApp Web a través de los perfiles del navegador y enviando mensajes engañosos a los contactos de la víctima. También puede utilizar Outlook para recolectar contactos y enviar correos de phishing desde la cuenta afectada.
¿Cuántas plataformas bancarias son vulnerables a este malware?
Según el informe de Elastic Security Labs, TCLBanker monitorea un total de 59 plataformas, que incluyen bancos, servicios de criptomonedas y entidades financieras. El malware verifica la barra de direcciones del navegador cada segundo para identificar si la víctima accede a alguna de ellas.
