Onderzoekers hebben malware ontdekt die zich automatisch via WhatsApp en Outlook verspreidt en het voorzien heeft op klanten van Braziliaanse banken en cryptobedrijven. Dat laat Elastic Security Labs in een analyse weten. Tclbanker, zoals de malware wordt genoemd, is een banking Trojan. Het gaat hierbij om malware specifiek ontwikkeld voor het plegen van bankfraude.

Tclbanker heeft twee functies, namelijk zichzelf verder verspreiden en gegevens op het besmette systemen stelen waarmee er toegang tot bankrekeningen en crypto-accounts kan worden verkregen. Zodra de malware actief is zoekt die naar actieve WhatsApp Web-sessies en stuurt vervolgens naar alle contacten van het besmette slachtoffer een bericht met daarin een link naar de malware. Verder verstuurt de malware via de Microsoft Outlook-applicatie en het mailaccount van het slachtoffer e-mails naar alle contacten in het adresboek. Wederom gaat het om een bericht voorzien van een link die naar de malware wijst.

De andere functie van de banking Trojan richt zich op domeinen van 59 Braziliaanse banken, fintech-ondernemingen en cryptobedrijven. Zodra slachtoffers deze domeinen bezoeken steelt de malware inloggegevens, kan zogenaamde wachtschermen tonen terwijl in de achtergrond fraude plaatsvindt, en vraagt slachtoffers via een ander venster om hun telefoonnummer, waarna ze door een oplichter worden gebeld die zich als bankmedewerker voordoet. Met de verkregen informatie en toegang kan vervolgens de gehele bankrekening worden geleegd.