Co tedy trojské koně skutečně jsou a jak se během let vyvinuly?

Stručná historie trojských koní

Jednu z nejranějších zmínek o termínu „trojský kůň“ v kyberbezpečnostním kontextu najdeme už v roce 1971 v prvním manuálu pro systém Unix, který inspiroval většinu dnešních operačních systémů. Sám název ale sahá historicky mnohem dál, konkrétně zhruba do 8. století př. n. l. k pověsti o trojské válce.

Ta vypráví o lsti, ke které se po 10 letech neúspěšného obléhání Troje uchýlili Řekové. Předstírali, že armáda odplula, a na místě ležení zanechali velikého dřevěného koně. Řecký voják Sinon, který zůstal jako posel, Trojany přesvědčil, že jde o dar, a ti navzdory varování kněze vtáhli koně do vrat. V koni ale byli schování vojáci, kteří v noci vpustili do města zbytek armády a Troju konečně dobyli.

Co je trojský kůň z kybernetického hlediska?

Trojský kůň je souhrnné označení pro vícero typů škodlivého softwaru, které se vydávají za jiné, neškodné soubory (např. programy, aktualizace/patche, e-mailové přílohy v PDF či DOCX, mediální soubory apod.) a jejich cílem je přesvědčit oběť, aby je stáhla a spustila. Tím většinou nainstaluje škodlivý kód v podobě spywaru, ransomwaru nebo klidně i napojení na botnet.

Trojské koně se často hází do jednoho pytle s počítačovými viry, ale jde o různé druhy škodlivého kódu. Trojský kůň se na rozdíl od počítačového viru totiž neumí sám kopírovat a šířit, k tomu vždy potřebuje člověka.

A právě tady většinou vstupuje na scénu sociální inženýrství, tedy soubor taktik, které nás přesvědčí soubor stáhnout a spustit. Trojské koně proto často najdeme jako payload v phishingových útocích.

Nejčastější plemena trojských koní

Phishing ale není zdaleka jediné využití trojských koní. Mezi další typy tohoto škodlivého kódu patří například:

• Downloader. Trojský kůň, jehož jediným účelem je stažení a spuštění dalšího škodlivého kódu do zařízení oběti. Obdobně funguje například i adware, který je často součástí legitimních softwarových balíčků.
• Dropper. Nosič obsahující další škodlivý soubor, který po spuštění „upustí“ a nainstaluje do zařízení.
• Backdoor a trojský kůň pro vzdálený přístup (RAT). Sofistikovanější typ trojského koně, který se skládá hned z několika nástrojů. Jejich funkcí je získat plný přístup do napadeného systému, odesílat a přijímat soubory, zaznamenávat údery na klávesnici (keylogger) či pořizovat snímky obrazovky.
• Packer (taky Crypter nebo Protector). V podstatě „jen“ obal, který má za úkol trojského koně skrýt před antivirem a ztížit jeho analýzu. Packery se používají i jako legální nástroje ke kompresi nebo ochraně softwaru před pirátstvím.
• Trojské koně DDoS a botnet. Tyto trojské koně dělají přesně to, co říká jejich název, tedy využívají napadené zařízení k DDoS útokům nebo vytváření sítě botnetů. Obdobně fungují i trojské koně, které nelegálně instalují software pro cryptomining.
• Bankovní trojský kůň. Pravděpodobně nejnebezpečnější typ, který využívá většinu výše popsaných funkcionalit ke kradení bankovních údajů. Dnes je poměrně vzácný, protože jsou jeho funkce prakticky zaměnitelné s infostealery (např. Agent Tesla), ale patří sem třeba Trickbot nebo Grandoreiro.

Dobrá zpráva je, že trojské koně, které mají za úkol zařízení vyřadit nebo úplně zničit, jsou poměrně vzácné. Špatná zpráva je, že dnešní trojští koně cválají hlavně s infostealery. A umí napáchat pořádné škody.

Jak funguje moderní útok pomocí trojského koně?

Útoky trojských koní stále probíhají zcela bájně. Řekové (kyberzločinci) chtějí dobít Troju (naše zařízení), takže si připraví škodlivý kód zabalený do lákavé návnady a uvěřitelný příběh (trojský kůň a Sinon).

Ačkoliv nás kněz (např. kyberbezpečnostní společnost) opakovaně varuje, koně vtáhneme do vrat (stáhneme a spustíme soubor) a Troja je opět dobytá (naše osobní a bankovní údaje padnou do rukou zločinců, počítač nebo mobil má pod kontrolou malware apod.).

Jak zjistím, že mám v zařízení trojského koně?

Tahle část je trochu komplikovanější, protože napadený systém se často chová jako starší nebo špatně softwarově optimalizované zařízení. Jinými slovy, je pomalejší, programy a aplikace mrznou nebo padají, objevují se notifikace a pop-up okna apod.

Trojské koně ale nenapadají jen počítače s operačním systémem Windows. Běžně napadají i zařízení s Androidem a troufnou si i na iOS a macOS.

• Jak odstranit malware ze zařízení s operačním systémem Android?
• Jak odstranit malware ze zařízení s operačním systémem iOS?
• Jak odstranit malware ze zařízení s macOS? Odpojte zařízení od internetu a spusťte XProtect, který malware identifikuje a izoluje. Zároveň zvažte pořízení antivirového programu třetí strany pro občasnou dodatečnou kontrolu.

Jak se můžu před trojským koněm efektivně ochránit?

Protože trojský kůň je rovným dílem sociální inženýrství i škodlivý kód, efektivní prevence musí zahrnovat nejen kvalitní a komplexní bezpečnostní řešení pro počítač i mobil, ale i dodržování zásad bezpečného pohybu na internetu.

Takže, na co byste neměli nikdy zapomínat?

• Důsledně aktualizujte operační systém a programy/aplikace, které používáte. Doporučujeme si zapnout automatické aktualizace a pokud je to možné, nestahovat je manuálně z různých stránek. Trojský kůň se často schovává v záplatách nebo jako součást balíčků legitimního softwaru.
• Nestahujte nelegální média ani pirátský software. Obezřetní buďte i s freewarem, protože ten může obsahovat nevyžádaný adware, který je vzdáleným příbuzným trojských koní.
• Neklikejte na vyskakovací reklamy, často totiž vedou na napadené webové stránky nebo webové stránky s „drive-by downloads“ (tj. malwarem, který se při návštěvě stránky automaticky stáhne do zařízení uživatele).
• Pravidelně si zálohujte soubory buď na externí disk nebo na cloud. Pokud totiž dojde na nejhorší, budete moct napadené zařízení zformátovat nebo vrátit do továrního nastavení beze strachu, že přijdete o cenná osobní data.
• Neustále se informujte o nových a vznikajících hrozbách, moderních taktikách sociálního inženýrství, využívání nových technologií v phishingu a podobně. Je totiž o dost snadnější vyvarovat se nepříteli, jehož podobu a taktiky známe.

Shrnutí

Trojské koně zastřešují několik druhů malwaru, které často pracují společně. Do zařízení se dostanou většinou za pomoci sociálního inženýrství. Jedním z nejefektivnějších způsobů obrany je ostražitost, informovanost a spolehlivý antivir, který nám pomůže problém včas odhalit a odstranit.

Mohlo by vás zajímat:
👿 Co je sociální inženýrství a jak se před ním bránit?
👿 Kouká nám pod prsty. Co je to keylogger a jak přesně funguje?
👿 Jdou po vašich datech: Co jsou to infostealery?

Počet detekcí adwaru Andreed přitom začal s příchodem prázdnin klesat a v srpnu tento pokles pokračoval. Rozhodně bychom ale neměli předpokládat, že riziko v podobě adwaru je v Česku menší, nebo že se adware z našeho prostředí trvale stahuje.

Adware většina uživatelů a uživatelek nepovažuje za velkou hrozbu. I reklama však může být kromě toho, že zahltí naše zařízení, škodlivá. Prostřednictvím reklamy mohou útočníci inzerovat podvodná sdělení nebo nás odkazovat na nebezpečné stránky obsahující malware. Škodlivou reklamu využívají také ve větších a propracovanějších útocích jako prostředek k manipulaci. V takové kampani se útočníci zaměřili například i na české banky.

I kvůli tomu, že je adware jako kybernetická hrozba dlouhodobě podceňovaný, jej útočníci stále s oblibou využívají. V Česku jej dlouhodobě šíří prostřednictvím napodobenin mobilních her, na které můžeme narazit v obchodě třetí strany.

V srpnu se v případě adwaru Andreed jednalo o napodobeninu hry Mini Ninjas, objevoval se ale nadále také v aplikaci pro luštění křížovek. Bezpečnostní experti dlouhodobě upozorňují na to, že oběťmi adwaru mohou být i děti, pro které může být řada falešných her lákavá.

Cílem bankovního malwaru je i mobilní telefon

V srpnu se situace nezměnila ani v případě malwaru Agent.HQS. Objem jeho detekcí sice v červenci narostl, další růst počtu případů byl v srpnu již minimální. Útočníci jej také maskují za domnělou aplikaci, a to konkrétně za MXtech videoplayer.

Agent.HQS se šíří v podobě tzv. dropperu, který si lze představit jako obálku doručující škodlivý kód. Pokud dropper uživatelé stáhnou a nainstalují, „rozbalí se“ a umožní instalaci dalších škodlivých kódů. Útočníci se touto strategií snaží obcházet bezpečnostní řešení.

Škodlivé kódy na platformě Android doplnil opět bankovní trojský kůň Cerberus. Rizikem je především v okamžiku, kdy navštěvujeme internetové bankovnictví přes prohlížeč chytrého telefonu, a ne přes bankovní aplikaci.

Jedna z hlavních funkcionalit tohoto malwaru je tzv. webinject. Díky ní útočník dokáže upravit webovou stránku, například naší banky, tak, že přidá nová pole do formulářů, odebere ochranné prvky nebo převezme kontrolu nad tím, kam jsou posílána naše data. Útočníci tímto způsobem dokáží na svůj server posílat získaná hesla, přepsat bankovní účet, kam peníze zasíláme, nebo odcizit údaje z bankovních karet. Rozsah úprav webové stránky závisí jen na tom, nakolik je útočník “šikovný”.

Organizované skupiny útočníků versus uživatel

Škodlivé kódy jsou obecně velkým rizikem pro naše data, která mají pro útočníky velkou cenu. I adware jim může posloužit k získání celé řady informací o našem zařízení nebo o našem chování na internetu. Z nich si pak mohou poskládat obrázek o tom, kdo jsme. Lépe pak na nás zacílí útoky využívající techniky sociálního inženýrství, pro které je společným znakem především manipulativní komunikace.

Kvalitní bezpečnostní software chrání uživatele nejen před hrozbami v podobě malwaru, ale také před potenciálně nechtěnými aplikacemi či pochybnými webovými stránkami. Pokud je webová stránka, na kterou se adware snaží uživatele přesměrovat, na seznamu podvodných stránek, bezpečnostní program k ní zablokuje přístup.

Uživatelům se pak objeví varování s informacemi, proč je webová stránka blokována. Program také v případě, že nějakou aplikaci nebo soubor detekuje jako nebezpečné, zapne při jejich stažení či spuštění detekci rezidentní ochranou souborového systému. Tato funkce stažení nebo spuštění zablokuje a přesune nebezpečný objekt do karantény.

Nejčastější kybernetické hrozby v České republice pro platformu Android za srpen 2024:

1. Android/Andreed trojan (11,54 %)
2. Android/TrojanDropper.Agent.HQS trojan (8,52 %)
3. Android/Spy.Cerberus trojan (5,22 %)
4. Android/Agent.FBG trojan (4,12 %)
5. Android/TrojanDropper.Agent.GKE trojan (4,12 %)
6. Android/TrojanDropper.Agent.GKW trojan (3,57 %)
7. Android/Agent.FBE trojan (2,75 %)
8. Android/Monitor.Traca application (2,75 %)
9. Android/TrojanDropper.Agent.IDL trojan (2,47 %)
10. Android/Agent.CZB trojan (2,20 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.