O conceito de trojan é usado para descrever a categoria mais comum de malware atualmente. É um programa malicioso que finge ser legítimo ou inofensivo para tentar acessar o computador ou dispositivo móvel da vítima e realizar diversos tipos de ações mal intencionadas. Eles podem vir ocultos de várias formas, desde um arquivo de áudio (WAV ou MP3), um arquivo ZIP ou RAR, uma extensão de navegador, um instalador de software legítimo, um arquivo de atualização ou um aplicativo para telefone, entre outros.

O que um trojan pode fazer em um dispositivo infectado

Os trojans podem ser usados por um invasor para vários fins maliciosos, como abrir backdoors, assumir o controle do dispositivo da vítima, roubar dados do computador infectado e enviá-los ao invasor, baixar e executar no computador ou dispositivo da vítima um software malicioso adicional, entre outras ações. Ao basear seu êxito na simulação e na necessidade do usuário executar o arquivo, os trojans são caracterizados por um alto uso de técnicas de engenharia social.

Assim como a lenda do famoso cavalo de Troia usado pelos gregos para esconder seus soldados e entrar na cidade de Troia, convencendo os guardas de que era um presente dos deuses, os trojans se caracterizam por seu modus operandi de se disfarçar e gerar uma aparência inofensiva, escondendo sua verdadeira função maliciosa com a intenção de fazer o usuário baixá-lo, permitindo a sua inserção no sistema e o execute. Os trojans geralmente não infectam outros arquivos no sistema e exigem a intervenção do usuário para se propagar.

Como uma prévia, vale mencionar que existe uma grande variedade de trojans e que cada um pode ser muito diferente um do outro em termos de capacidades e ações executadas no dispositivo da vítima, como downloaders, bankers (também conhecidos como trojans bancários), backdoors, droppers, keyloggers ou bots.

Por outro lado, para conseguir se infiltrar no dispositivo da vítima, os trojans utilizam outros meios, como downloads, exploração de vulnerabilidades, técnicas de engenharia social, entre outros.

Principais características dos trojans

Os trojans geralmente são códigos maliciosos com uma certa sofisticação, embora isso também dependa do propósito e da habilidade de quem os desenvolveu. Algumas características mais comuns dos trojans são:

• Capacidade de entrar em contato com seus servidores de Comando e Controle (C&C): embora grande parte do trabalho de um trojan seja realizado de forma autônoma, uma característica essencial desse código malicioso é sua capacidade de poder reportar-se aos operadores por trás da ameaça por meio de servidores (C&C). Através desses servidores, a ameaça recebe novas instruções (ou comandos) do invasor; por exemplo, para baixar outras ameaças ou componentes adicionais no computador comprometido ou para extrair informações do computador da vítima.
• Extensibilidade de suas funções: poucos trojans atualmente não têm a capacidade de baixar novos componentes de seu servidor C&C para executar novas tarefas. Um trojan básico, por exemplo, pode inicialmente ter funcionalidades de keylogger, mas uma vez instalado no computador, a ameaça pode baixar outros componentes que permitem realizar outras ações, como roubar informações específicas (credenciais bancárias, senhas, documentos, etc.). Embora isso geralmente dependa do interesse que um invasor tem no computador infectado, na maioria das vezes é um processo automatizado, pois, por exemplo, um trojan que é distribuído por meio de uma campanha de phishing pode infectar centenas ou milhares de dispositivos.
• Download de outras ameaças: depois que um computador é comprometido, alguns trojans baixam outras ameaças, mas, em alguns casos, os cibercriminosos podem oferecer como serviço a outros atacantes o acesso a sistemas comprometidos por um trojan.
• Atualização: alguns têm a capacidade de atualizar a si mesmos e a seus componentes.

Tipos mais comuns de trojans

Como destacamos no início deste artigo, o termo trojan abrange vários tipos de malware. Alguns dos vários tipos de trojans existentes são:

• Trojans backdoor: as famosas “portas traseiras” que oferecem ao invasor um controle mais refinado do computador infectado. Alguns desses trojans podem mostrar ao invasor a tela da vítima em tempo real, gravar áudio, usar o mouse e o teclado, criar, deletar e editar arquivos, bem como baixar e roubar informações.
• Trojans bancários: este tipo de trojan é projetado com o objetivo de roubar as informações bancárias do usuário, sejam elas senhas ou credenciais de acesso ao sistema bancário on-line ou ao aplicativo bancário, bem como informações sobre contas e cartões de crédito.
• Trojans Ransomware: um dos tipos mais perigosos de malware que existe atualmente é o trojan ransomware, que tem a capacidade de criptografar documentos ou bloquear um computador infectado. Os invasores podem solicitar algum tipo de pagamento em troca da descriptografia das informações ou do reestabelecimento do uso dos sistemas comprometidos.
• Trojans Downloader: depois de obter acesso a um computador, esse tipo de trojan tenta baixar outras ameaças, sejam elas outros tipos de trojans ou adware.
• Trojans Dropper: este tipo de trojan geralmente é ofuscado e protegido para dificultar sua análise e detecção. Sua função é instalar algum tipo de ameaça que está oculta em seu interior.
• Trojans Spyware: muito semelhante ao Backdoor, os trojans espiões buscam registrar todo tipo de informação no computador, bem como tirar screenshots, vídeos, áudio e enviá-los a um atacante. Esse processo geralmente é automatizado.

Exemplos de trojans conhecidos

O Spyware FinFisher (também conhecido como FinSpy) é outro exemplo de trojan. Ele é conhecido por seus amplos recursos para espionar e usar webcams, microfones, keyloggers de forma mal intencionada e a capacidade de exfiltrar arquivos. Essa ameaça era comercializada por seus desenvolvedores como uma ferramenta para as forças de segurança, mas acredita-se que também tenha sido usado por regimes opressores. Para esconder seu verdadeiro propósito, o FinFisher usa vários disfarces. Em uma de suas campanhas descobertas pela ESET, a ameaça se fez passar por instalador de programas populares, como navegadores e reprodutores de mídia. O FinFisher também foi distribuído por meio de e-mails de phishing que incluíam anexos falsos ou atualizações de software falsas.

Também podemos citar o Emotet, um trojan popular que começou como um trojan bancário, mas que com o tempo se tornou um malware modular amplamente usado para baixar outros códigos maliciosos, como o TrickBot e o Qbot, por exemplo, nos computadores das vítimas.

Trojans direcionados a dispositivos móveis

No entanto, os trojans não são uma ameaça exclusiva para os computadores. Muitos malwares para dispositivos móveis (especialmente para Android) também se enquadram nessa categoria. O DoubleLocker foi uma família de ransomware inovadora que se fazia passar por uma atualização do Adobe Flash Player. Essa ameaça se infiltrava em dispositivos móveis por meio dos serviços de acessibilidade, criptografando dados e bloqueando a tela através de um código PIN aleatório. Posteriormente, o invasor exigia um pagamento em bitcoin para desbloquear o dispositivo.

Mais ao longo do tempo temos observado diferentes campanhas que buscam distribuir trojans para Android através de lojas oficiais como o Google Play que se fazem passar por jogos, aplicativos de redes sociais, gerenciadores de bateria, aplicativos meteorológicos, reprodutores de vídeo, entre outras funcionalidades. O objetivo desses trojans é permanecer oculto nos computadores dos usuários enquanto coleta informações confidenciais, como credenciais de acesso a outros aplicativos.