Новый банковский троян комбинирует возможности червя: атакует через WhatsApp и Outlook
14.05.2026
Киберпреступность не стоит на месте, и каждый месяц специалисты по информационной безопасности фиксируют появление всё более сложных и опасных угроз. Одна из последних таких находок — банковский троянец TCLBanker, который сочетает в себе черты классического банковского вредоноса, продвинутого RAT-инструмента (удаленного доступа) и самораспространяющегося червя. Обнаружившие его эксперты из Elastic Security Labs бьют тревогу: хотя пока что география атак ограничена Бразилией, высока вероятность того, что в ближайшем будущем этот опасный софт выйдет на глобальный уровень.
Главная особенность TCLBanker — его способность к автономному распространению через два самых популярных канала коммуникации: мессенджер WhatsApp (принадлежит признанной в России экстремистской организации Meta) и почтовый клиент Microsoft Outlook. Иными словами, троянец ведет себя как сетевой червь: заражая один компьютер, он сканирует сохраненные контакты жертвы и рассылает от её имени фишинговые или спам-сообщения с целью заражения следующих пользователей. Для распространения через WhatsApp вредоносный код ищет в браузерах на базе Chromium базу данных WhatsApp Web IndexedDB. Обнаружив её, он запускает скрытую сессию, перехватывает управление профилем жертвы, выбирает из списка контактов только бразильские номера и рассылает по ним завлекающие ссылки на ресурсы, распространяющие инсталляторы TCLBanker. В случае с Outlook используется COM-автоматизация — троянец запускает почтовый клиент, собирает адреса из контактов и папки «Отправленные», после чего рассылает фишинговые письма от имени уже скомпрометированного пользователя.
При этом сам механизм первичного заражения системы демонстрирует высокий уровень технической изощренности. Вредонос использует скомпрометированный инсталлятор (.msi) продукта Logitech AI Prompt Builder. Попадая в систему, TCLBanker загружается в контексте легитимного приложения Logitech благодаря технике побочной загрузки DLL (DLL side-loading). Это означает, что антивирусное ПО воспринимает вредоносную активность как безопасную работу легального софта, что резко снижает вероятность обнаружения. Эксперты Elastic Security Labs относят TCLBanker к эволюционному развитию известного семейства MAVERICK (также известного как SORVEPOTEL), однако отмечают, что новый образец получил настолько серьезные улучшения, что его можно считать следующим поколением этого семейства.
Одной из самых тревожных особенностей нового троянца является его крайне эффективная защита от инструментов анализа и отладки. Исследователи сообщают, что модуль распаковки полезной нагрузки отказывается работать в изолированных средах (песочницах). Кроме того, вредонос создает постоянный фоновый процесс, который отслеживает запуск таких популярных аналитических средств, как x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot и многих других. При обнаружении любого из этих инструментов троянец, вероятно, изменяет свое поведение или вовсе прекращает работу, чтобы избежать изучения. Более того, в отчете Elastic Security Labs высказывается предположение, что TCLBanker мог быть разработан с использованием технологий искусственного интеллекта, что объясняет его нестандартную архитектуру и продвинутые механизмы обхода защиты.
Что касается функционала банковского троянца, здесь TCLBanker также демонстрирует пугающую эффективность. Всего он способен атаковать 59 различных платформ, включая крупные банки, финансово-технологические (fintech) сервисы и криптовалютные биржи. После заражения система находится под постоянным наблюдением: специальный банковский модуль каждую секунду проверяет содержимое адресной строки во всех открытых браузерах, используя для этого API автоматизации пользовательского интерфейса Windows. Как только жертва переходит на один из 59 целевых ресурсов, троянец мгновенно устанавливает WebSocket-соединение с управляющим сервером злоумышленников. На сервер отправляются подробные данные о зараженной системе, и активируется полноценный режим удаленного управления.
Возможности, которые получает оператор TCLBanker, впечатляют. В его распоряжении оказывается прямая трансляция содержимого экрана жертвы в реальном времени. Помимо этого, злоумышленник может делать скриншоты, перехватывать все нажатия клавиш (включая логины и пароли) и отслеживать содержимое буфера обмена (что особенно опасно при копировании адресов криптовалютных кошельков или одноразовых паролей). Сверх этого, троянец предоставляет удаленному оператору полноценную Shell-оболочку для выполнения произвольных команд в системе жертвы, возможность управления окнами приложений, доступ к файловой системе для чтения, записи и удаления файлов, а также полный контроль над мышью и клавиатурой. Для того чтобы жертва не могла помешать злоумышленнику, во время активной сессии процесс Диспетчера задач (Task Manager) Windows блокируется — пользователь не может завершить подозрительные процессы.
Особого внимания заслуживают технологии визуального обмана — так называемые WPF-оверлеи. TCLBanker умеет выводить поверх окон легитимных банковских или криптовалютных сервисов поддельные графические элементы, созданные с использованием Windows Presentation Foundation. Злоумышленник может отобразить на экране жертвы фишинговые поля для ввода учетных данных, запрос PIN-кода, форму для перехвата номера телефона, поддельную страницу клиентской поддержки, ложное уведомление о критическом обновлении Windows и множество других обманных элементов. Некоторые оверлеи перекрывают экран лишь частично, оставляя видимой часть оригинальной страницы, что усыпляет бдительность пользователя, который думает, что всё в порядке.
Пока что география распространения TCLBanker ограничена Бразилией. Вредонос проводит проверку временной зоны, раскладки клавиатуры и языка операционной системы и активирует свой деструктивный функционал только при совпадении с бразильскими параметрами. Однако, как подчеркивают в Elastic Security Labs, в прошлом подобные вредоносные программы, изначально нацеленные на Латинскую Америку, неоднократно расширяли свой ареал действия. Эксперты оценивают вероятность выхода TCLBanker за пределы Бразилии как очень высокую. Пользователям в России и других странах СНГ уже сейчас стоит проявить бдительность: проверять подлинность устанавливаемого ПО (особенно инсталляторов от производителей периферии), не переходить по ссылкам из подозрительных сообщений в мессенджерах и почте, даже если они пришли от знакомых контактов, и использовать современные многофакторные методы защиты банковских и криптовалютных аккаунтов.
