Šta se desilo?

Otkrivena je nova bankarska trojanska aplikacija nazvana TCLBANKER koju distribuiraju napadači preko lažne, ali digitalno potpisane Logitech instalacije. Kampanja, označena kao REF3076, koristi DLL sideloading tehniku kako bi ubacila zlonamerni kod u legitimnu Flutter aplikaciju - Logi AI Prompt Builder. Kada korisnik pokrene instalaciju, trojanska aplikacija se učitava bez znanja žrtve i počinje da prati financijske aktivnosti.

Koga pogađa?

Primarnu metu predstavljaju korisnici u Brazilu koji pristupaju bankovnim sajtovima, fintech platformama i kripto-valutnim servisima. Trojanska aplikacija prati 59 ciljanih finansijskih domena i čeka da žrtva pristupi bilo kojem od njih kako bi pokrenula napad.

Kako se zaštititi?

  • Preuzimajte softver samo sa zvaničnih sajtova proizvođača, nikada sa spoljnih izvora
  • Proverite digitalni potpis instalacije pre nego što je pokrenete - legitimne Logitech aplikacije imaju pravi sertifikat
  • Održavajte antivirusnu zaštitu ažurnom i omogućite monitoring ponašanja aplikacija
  • Budite oprezni sa email porukama koje sadrže ZIP fajlove sa instalacijama, čak i ako izgledaju pouzdano
  • Redovno proverite Task Manager kako biste detektovali nepoznate procese
  • Aktivirajte dvofaktorsku autentifikaciju na finansijskim računima

Tehnički detalji

Trojanska aplikacija koristi DLL sideloading preko lažnog fajla screen_retriever_plugin.dll koji se predstavlja kao Flutter plugin. Lošica može prikazati falsifikovane bankovske interfejse preko punog ekrana, zamrznuti grafički interfejs i blokirati Task Manager kako bi sprečila korisnika da prekine proces. Kampanja je još uvek u ranoj fazi, sa znakovima da infrastruktura napadača nije u potpunosti gotova.

Preporuka Sajber Radara

Korisnici u Brazilu trebaju da budu posebno oprezni pri preuzimanju softverskih instalacija. Proverite autentičnost pre nego što instalirate bilo šta novo i koristite samo zvanične distributivne kanale. Prijavite sumnjive instalacije bezbednosnim timovima svojih finansijskih institucija.