Qué es un troyano en informática

 

Qué es un troyano en informática

Troyano en informática hace referencia a un software malicioso que se hace pasar por algo inofensivo y que brinda al atacante acceso a un equipo infectado para realizar otras acciones maliciosas.


Facundo Muñoz

14 May 2021 - 01:33PM

El concepto de troyano en informática se utiliza para describir la categoría de malware más común en la actualidad. Se trata de un programa malicioso que se hace pasar por algo legítimo o inofensivo para intentar acceder a la computadora o dispositivo móvil de la víctima y realizar distintos tipos de acciones maliciosas. Pueden venir ocultos bajo muchas formas, desde un archivo de audio (WAV o MP3), un archivo ZIP o RAR, una extensión para el navegador, un instalador de un software legítimo, un archivo de actualización o una app para el teléfono, entre otras tantas.

Qué puede hacer un troyano en un equipo infectado

Los troyanos pueden ser utilizados por un atacante para varios fines maliciosos, como abrir puertas traseras (backdoors), tomar control del dispositivo de la víctima, sustraer datos del equipo infectado y enviarlos al atacante, descargar y ejecutar en la computadora o dispositivo de la víctima software malicioso adicional, entre otras acciones. Al basar su éxito en la simulación y en la necesidad de que el usuario ejecute el archivo, los troyanos se caracterizan por una alta utilización de técnicas de ingeniería social.

Por qué un troyano no es un virus

Si bien muchas personas suelen referirse a los troyanos como un virus, a diferencia de los virus informáticos los troyanos no tienen la capacidad de infectar a otros archivos por sí solos o de moverse dentro de la red o el equipo comprometido. Para más información puedes leer el artículo cuál es la diferencia entre virus y malware

Al igual que cuenta la leyenda del famoso caballo de Troya utilizado por los griegos para ocultar a sus soldados e ingresar a la ciudad de Troya, convenciendo a los guardias que se trataba de un regalo de los dioses, los troyanos informáticos se caracterizan por su modus operandi de disfrazarse y dar una apariencia inofensiva, ocultando su verdadera función maliciosa con la intención de lograr que el usuario lo descargue, permita su ingreso en el sistema y lo ejecute. Generalmente, los troyanos no infectan otros archivos del sistema y requieren de la intervención del usuario para poder propagarse.

A modo de adelanto, vale la pena mencionar que existe una gran variedad de troyanos y que cada uno puede ser muy diferente entre sí en cuanto a sus capacidades y las acciones que realizan en el dispositivo de la víctima, como los downloaders, bankers (también conocidos como troyanos bancarios), backdoors, droppers, keyloggers, o los bots.

Por otra parte, para lograr infiltrarse en el dispositivo de una víctima, los troyanos se valen de otros medios, tales como descargas, explotación de vulnerabilidades, técnicas de ingeniería social, entre otras.

Repaso histórico 

El término troyano se utilizó por primera vez en 1974 en un reporte sobre el análisis de vulnerabilidades en sistemas de computadoras realizado por la Fuerza Aérea de Estados Unidos, pero el término se volvió popular en la década de 1980 y ya a finales de esa década pueden identificarse los primeros troyanos, los cuales comenzaron a masificarse a principios de la década de 1990 con Internet.

Principales características de los troyanos

Los troyanos suelen ser códigos maliciosos con cierta sofisticación, aunque eso por supuesto que también depende del objetivo y la habilidad de quienes lo han desarrollado. Algunas características más comunes de los troyanos son:

·         Capacidad de contactarse con sus servidores de Comando & Control (C&C): si bien una gran parte del trabajo de un troyano se lleva a cabo autónomamente, una característica esencial de estos códigos maliciosos es su capacidad para reportarse con los operadores detrás de la amenaza mediante servidores de (C&C). A través de estos servidores la amenaza recibe nuevas instrucciones (o comandos) por parte del atacante; por ejemplo, para descargar otras amenazas o componentes adicionales en el equipo comprometido o exfiltrar información del equipo de la víctima. 

·         Extensibilidad de sus funciones: son pocos los troyanos que en la actualidad no tienen la capacidad de descargar nuevos componentes desde su servidor C&C para realizar nuevas tareas. Un troyano básico, por ejemplo, puede que inicialmente tenga funcionalidades de keylogger, pero una vez instalado en el equipo el troyano puede descargar otros componentes que le permitan realizar otras acciones, como robar información específica (credenciales bancarias, contraseñas, documentos, etc.). Si bien esto generalmente depende del interés que tenga un atacante sobre el equipo infectado, la mayoría de las veces se trata de un proceso automatizado, ya que, por ejemplo, un troyano que se distribuye a través de una campaña de phishing puede llegar a infectar a cientos o miles de dispositivos, dependiendo la calidad de su distribución.

·         Descargar otras amenazas: una vez comprometido un equipo, algunos troyanos descargan otras amenazas, pero también puede ocurrir que un actor malicioso ofrezca como servicio a otros actores de amenazas acceso a sistemas que fueron comprometidos con un troyano.

·         Actualización: algunos tienen la capacidad de actualizarse a sí mismos y sus componentes. 

Tipos de troyanos más comunes

Como dijimos al inicio de este artículo, el termino troyano abarca varios tipos de malware. Algunos de los varios tipos de troyanos que existen son:

Troyanos Backdoor: Las famosas “puertas traseras” que ofrecen al atacante un control mas refinado del equipo infectado. Algunos de estos troyanos pueden mostrar al atacante la pantalla de la víctima en tiempo real, grabar audio, utilizar el mouse y el teclado, crear, borrar y editar archivos, así como descargar y sustraer información.

Troyanos Bancarios: Este tipo de troyano esta diseñado con el objetivo de robar la información bancaria del usuario, ya sea las contraseñas o credenciales para acceder al sistema de banca en línea o de la aplicación bancaria, así como información sobre cuentas y tarjetas de crédito.

Troyanos Ransomware: Uno de los tipos mas peligrosos de malware que existen en la actualidad es el troyano ransomware, que posee la capacidad de cifrar documentos o bloquear un equipo infectado. Los atacantes podrían pedir algún tipo de pago a cambio de descifrar la información, o restablecer el uso de los sistemas comprometidos.

Troyanos Downloader: Una vez que se ha conseguido acceso a un equipo este tipo de troyano buscará descargar otras amenazas, ya sean otro tipo de troyanos o Adware.

Troyanos Dropper: Este tipo de troyano usualmente esta ofuscado y protegido de alguna manera para dificultar su análisis y su detección. Su función es instalar algún tipo de amenaza que está oculta en su interior.

Troyanos Spyware: Muy parecidos a los Backdoor, los troyanos espías buscan grabar todo tipo de información que hay en el equipo, así como tomar capturas de pantalla, videos, audio, y enviarlo a un atacante. Este proceso suele ser automatizado.

Lectura relacionada: Troyanos bancarios de América Latina: análisis de nuevas familias de malware

Ejemplos de troyanos conocidos

El notorio Spyware FinFisher (tambien conocido como FinSpy) es otro ejemplo de un troyano. Es conocido por sus extensas capacidades para especiar y utilizar maliciosamente webcams, micrófonos, keyloggers, y habilidad para exfiltrar archivos. En su momento era comercializado por sus desarrolladores como una herramienta para las fuerzas de seguridad, pero se cree que también ha sido utilizado por regímenes opresivos. Para ocultar su verdadero propósito, FinFisher utiliza varios disfraces. En una de sus campañas descubiertas por ESET se hacía pasar como un instalador de programas populares, como navegadores y reproductores multimedia. También ha sido distribuido vía correos de phishing que incluían adjuntos falsos o falsas actualizaciones de software.

Más acá en el tiempo podemos hablar de Emotet, un popular troyano que comenzó siendo un troyano bancario pero que con el tiempo se convirtió en un malware modular muy utilizado para descargar otros códigos maliciosos, como TrickBot y Qbot, por ejemplo, en los equipos de las víctimas.

Troyanos dirigidos a dispositivos móviles

Sin embargo, los troyanos no son una amenaza exclusiva para computadoras. Una gran cantidad del malware para dispositivos móviles (especialmente para Android) también pertenece a esta categoría. DoubleLocker fue una familia de Ransomware innovadora que se disfrazaba como una actualización de Adobe Flash Player. Esta amenaza se Infiltraba en un dispositivo móvil por medio de los servicios de Accesibilidad, encriptando los datos y bloqueando la pantalla utilizando un código PIN aleatorio. Posteriormente, el atacante demandaba un pago en bitcoin para desbloquear el dispositivo.

Más acá en el tiempo hemos observado distintas campañas que buscan distribuir troyanos para Android a través de tiendas oficiales como Google Play que se hacen pasar por juegos, aplicaciones de redes sociales, gestores de batería, aplicaciones del clima, reproductores de video, entre otras funcionalidades. El objetivo de estos troyanos es mantenerse ocultos dentro del equipo de los usuarios mientras recolectando información sensible, como credenciales de acceso de otras aplicaciones.

Cómo protegerse de los troyanos

El termino troyano incluye varios tipos de software malicioso y puede ser evitado siguiendo algunas recomendaciones como las que mencionamos en los siguientes artículos:

·         7 formas en las que tus dispositivos se pueden infectar con malware

·         Claves para reconocer correos de Phishing

·         Películas, compras y videojuegos en Internet: los riesgos de seguridad durante los días de cuarentena

Por último, vale la pena mencionar que muchos troyanos aprovechan vulnerabilidades en los sistemas de las victimas a fin de infiltrarse en ellos. Para mitigar estas vulnerabilidades, se recomienda a los usuarios mantener actualizados los equipos e instalar parches regularmente, no solo a su sistema operativo, sino a cualquier software que utilices.

Facundo Muñoz  https://www.welivesecurity.com/la-es/

14 May 2021 - 01:33PM

 

Comentarios

Publicar un comentario

Entradas populares de este blog

PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS

Imagen
  PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS Los ataques contra cajeros automáticos en la calle han evolucionado a grandes pasos, dejando atrás los métodos de compromiso físico de estas máquinas para llegar a los ataques empleando tecnología y avanzadas capacidades de hacking. Los análisis más recientes sugieren que el método más sofisticado actualmente es conocido como “Black Box”, basado en el uso de una microcomputadora con una placa única. En esta ocasión, los especialistas en  concientización de ciberseguridad  del Instituto Internacional de Seguridad Cibernética  (IICS)  le mostrarán las características más importantes de estos ataques, que podrían generar pérdidas millonarias a las instituciones bancarias. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a la información aq...
Leer más

Dictaminan que Facebook Argentina es sujeto obligado por la ley de datos personales en el marco de una acción de habeas data

Imagen
  El procurador fiscal ante la Corte Suprema de Justicia de la Nación Víctor Abramovich dictaminó en un caso en que se había condenado a Facebook Argentina SRL a develar datos del usuario que había creado la publicación bajo análisis. En su dictamen, Abramovich opinó que correspondía hacer lugar parcialmente al recurso extraordinario presentado por la demandada y que se debía revocar la sentencia apelada. En la causa, se hace foco en la aplicación de la ley de datos personales, la legitimación pasiva de la filial local de la empresa en el marco de una acción de habeas data y las reglas constitucionales que rigen el anonimato como forma de participación en asuntos de interés público. La Sala II de la Cámara Federal de Apelaciones de La Plata modificó, en el marco del caso “Quinteros, Héctor Andrés c/ Facebook Argentina SRL s/ amparo ley 16986”, la sentencia de la instancia anterior y revocó la condena a Facebook Argentina SRL, en donde se había ordenado la eliminación de la ima...
Leer más

Suplantación de identidad: condenaron al Banco Provincia

Imagen
  Suplantación de identidad: condenaron al Banco Provincia a pagar más de $1.000.000 por daño material y punitivo Fue a raíz de que un cliente desconociera una serie de operaciones realizadas desde su cuenta. El juez Carlos Catoggio, a cargo del Juzgado Civil y Comercial N°25 de La Plata, consideró que hubo una desatención por parte de la entidad bancaria porque no desplegó medidas de seguridad adecuadas a fin de evitarlo. El juez  Carlos José Catoggio , a cargo del   Juzgado Civil y Comercial Nº 25 de La Plata , hizo lugar a una demanda por  nulidad de contrato y daños y perjuicios , promovida contra el  Banco Provincia , y le ordenó a la entidad a abonarle a un cliente una suma de  $92.717,25 por daño material  y de  $1.000.000 por daño punitivo .  En el caso, la parte actora detalló una serie de  operaciones de crédito y transferencias  realizadas desde su  cuenta bancaria de las que nunca participó . En su presentación...
Leer más