Caii troieni sunt programe „deghizate” ce încearcă să creeze breşe în sistemul de operare pentru a permite unui utilizator accesul în sistem. Troienii nu au facilitatea de a se auto-multiplica precum viruşii informatici.

Troienii sunt alcătuiţi din trei componente:

• programul Server: programul propriu-zis al troianului ce infectează calculatorul victimă;
• programul Client: folosit pentru conectarea la calculatorul infectat şi pentru a trimite comenzi sau a primi informaţii;
• programul Build/Edit Server: folosit pentru editarea programului Server.

Caii troieni se pot împărţi în mai multe categorii, în funcţie de scopul acţiunii lor:

• backdoors: permite atacatorului să preia controlul asupra calculatorului victimă prin Internet;
• password stealer: programe ce fură parole (citesc datele de la tastatură şi le stochează în fişiere ce pot fi citite ulterior de către atacator sau pot fi trimise direct către contul de e-mail al atacatorului);
• logical bombs: când sunt întrunite anumite condiţii aceşti troieni pot efectua operaţii ce compromit securitatea sistemului;
• Denial of Service tools: programe ce trimit anumite secvenţe de date către o ţintă (de obicei un site web), cu intenţia de a întrerupe serviciile de Internet ale acelei ţinte.

Un utilizator ce doreşte să infecteze un calculator trebuie să aibă la îndemână toate cele trei componente ale unui troian. Programul ce va fi folosit pentru a infecta calculatorul victimă va fi programul Server. Acest modul va trebui configurat cu ajutorul programului Build/Edit Server.

Cu ajutorul acestui program se pot seta diverşi parametri pentru programul Server, ca de exemplu:

• modalitatea de pornire a serverului pe calculatorul victimă (se poate seta ca serverul să pornească la fiecare repornire a sistemului de operare);
• adresa de e-mail către care va trimite notificări atacatorului;
• numărul portului ce va trebui deschis în cadrul calculatorului victimă pentru a face posibilă conexiunea cu atacatorul;
• parola de acces la calculatorul victimă (pentru a nu permite si altor persoane accesul la calculatorul infectat);
• mesajul de eroare ce va apare în momentul accesării fişierului Server (în cazul în care programul Server apare sub forma unui fişier multimedia şi în momentul accesării nu se întâmplă nimic, pentru a nu trezi suspiciuni utilizatorului va trebuie setat un mesaj de eroare similar mesajelor afişate de sistemul de operare);

Odată ce programul Server a fost configurat, utilizatorul ce doreşte să infecteze un sistem va trebui să găsească o modalitate prin care să trimită fişierul respectiv calculatorului victimă. În momentul în care fişierul Server va fi accesat pe calculatorul victimă, troianul va infecta sistemul de operare şi va permite accesul la acesta. Următorul pas este folosirea  programului Client pentru conectarea la Serverul ce rulează pe calculatorul infectat. În felul acesta utilizatorul rău intenţionat va avea acces la sistemul de operare şi la sistemul de fişiere al calculatorului victimă.

Cu ajutorul unui cal troian se pot obţine informaţii despre sistemul calculatorului infectat sau despre reţeaua de calculatoare din care face parte, informaţii ce pot fi folosite în cadrul altor atacuri. Se pot fura parole de la conturi de e-mail sau conturi bancare prin intermediul unui program de genul keylogger (citeşte datele introduse de la tastatură) încorporat în cadrul troianului, date ce sunt stocate într-un fişier ascuns ce poate fi citit ulterior de către atacator sau poate fi trimis la una din adresele de e-mail specificate de atacator. Accesul atacatorului la calculatorul victimă presupune şi accesul complet la sistemul de fişiere al sistemului, fiind posibilă copierea, modificarea sau chiar ştergerea tuturor datelor.

De regulă caii troieni reprezintă o consolă în care atacatorii inserează comenzile specifice, dar au existat şi cazuri de troieni ce au avut programul Client sub forma unei interfeţe grafice în care comenzile se puteau da prin nişte simple click-uri de mouse. Un astfel de cal troian a fost SubSeven, troian ce a beneficiat de numeroase versiuni, ultimele având o interfaţă grafică foarte complexă şi uşor de folosit.

Programul Client al troianului Subseven, versiunea 2.1.5 beneficiază de 7 module: Connection, Keys/Messages, Advanced, Miscellaneus, Fun Manager, Extra Fun, Local Options.

Modulul Connection este folosit pentru configurarea opţiunilor de conectare la programul Server ce rulează pe calculatorul infectat, modulul Keys/Messages pentru trimiterea de mesaje, modulul Advanced pentru urmărirea activităţii pe Internet, pentru furtul de parole,  şi pentru editarea regiştrilor, modulul Miscellaneus pentru accesarea sistemului de fişiere şi efectuarea de operaţii cu acestea, modulele Fun Manager şi Extra Fun pentru realizarea de operaţii cu efecte „hazlii” pentru atacator (răsturnarea imaginii de fundal, inversarea comenzilor mouse-ului, captură de ecran), modulul Local Options fiind folosit pentru setarea unor opţiuni locale.

Dacă troienii anilor ‘90 au avut ca principal scop vandalizarea calculatorului victimă (ştergerea fişierelor sau formatarea hard disk-ului) şi elementele distractive pentru atacator (oprirea monitorului, deschiderea CD-ROM-ului sau trimiterea de mesaje amuzante), troienii din anii ’00 au avut ca scop furarea parolelor şi în special a datelor despre conturile utilizatorilor, troienii de la începutul acestui deceniu sunt foarte bine puşi la punct tehnologic şi au ca principal scop terorismul cibernetic.

Kaspersky Lab anunta ca un prim program periculos, clasificat in categoria Trojan-SMS, a fost detectat pe telefoanele mobile care ruleaza sistemul de operare Android de la Google.

Numit Trojan-SMS.AndroidOS.FakePlayer.a, acesta a infectat deja mai multe dispositive mobile.

Programul se instaleaza pe dispozitivele smartphone care ruleaza Android sub deghizarea unei aplicatii media banale.

Utilizatorilor li se solicita sa accepte instalarea unui fisier de 13KB, cu extensia standard .APK a aplicatiilor Android. Odata instalat pe telefon, troianul incepe sa trimita SMS-uri catre o lista de numere cu suprataxa, fara acordul sau cunostinta utilizatorului telefonului.

Troienii-SMS sunt cea mai raspandita categorie de programe periculoase pentru telefoanele mobile, dar Trojan-SMS.AndroidOS.FakePlayer.a este primul scris special pentru platforma Android. Trebuie notat ca pana acum au existat cazuri izolate de dispozitive ruland Android care au fost infectate cu programe spyware. Primul asemenea program a aparut in 2009.

”Dupa cum arata datele organizatiei de cercetare de piata IDC, vanzarile de telefoane mobile pe platforma Android inregistreaza cea mai mare rata de crestere dintre toate platformele vandute. Ca urmare, ne putem astepta ca numarul de programe periculoase scrise special pentru aceasta platforma sa creasca”, spune Denis Maslennikov, Mobile Research Group Manager la Kaspersky Lab.

”Kaspersky Lab dezvolta activ tehnologii si solutii pentru a proteja sistemele de operare, iar Kaspersky Mobile Security pentru Android este asteptat sa fie lansat la inceputul anului 2001”.

Kaspersky Lab recomanda utilizatorilor sa urmareasca cu atentie accesul la ce servicii sunt solicitate de aplicatii atunci cand acestea sunt instalate, inclusiv accesul la serviciile scumpe, cum ar fi trimiterea de SMS-uri catre numere cu suprataxa. Daca utilizatorul accepta accesul la aceste servicii in faza de instalare, este posibil ca programele respective sa initieze apeluri si sa trimita mesaje fara a mai cere aprobare ulterioara.

Semnatura pentru Trojan-SMS.AndroidOS.FakePlayer.a a fost deja adaugata in baza de date a Kasperky Lab.

Sursa: Kaspersky