Троянская программа

Троя́нская програ́мма, или просто троя́н (англ. Trojan horse — троянский конь) — тип вредоносного программного обеспечения, который скрывается под видом легитимной программы или файла. Троян может распространяться через вложения в электронных письмах или файлы, скачанные из интернета. Основная цель трояна — получить несанкционированный доступ к системе пользователя для выполнения действий, таких как кража данных, шпионаж, создание ботнетов или установка дополнительного вредоносного ПО. В отличие от вирусов и червей, трояны сами по себе не распространяются, а требуют активного участия пользователя для запуска^[1].

Происхождение термина

История термина «троян» уходит корнями в древнюю историю. Классическим примером является миф о троянском коне, когда греки использовали хитрость, скрывшись внутри большого деревянного коня, чтобы проникнуть в город Трою и одержать победу. В сфере компьютерных технологий троянские программы действуют аналогичным образом: они маскируются под легитимные приложения или используют другие методы обмана для того, чтобы попасть на устройство пользователя. Первое упоминание термина появилось в докладе ВВС США в 1974 году, где рассматривались возможные способы атак на компьютерные системы^[2].

Принцип работы

Троян отличается от других типов компьютерных угроз тем, что не способен к самопроизвольной активации. Для того чтобы троян начал свою работу, пользователь должен самостоятельно скачать и запустить специально сконфигурированный исполняемый файл (.exe), который содержит вредоносный код. Чтобы обмануть пользователя, трояны часто маскируются под легитимные программы или файлы, побуждая жертву открыть их. После запуска троян начинает интегрировать дополнительное вредоносное ПО в систему, а также может автоматически активироваться при каждом включении заражённого устройства^[1].

Например, почтовые трояны используют методы социальной инженерии, создавая фишинговые письма с вложениями, которые выглядят как важные документы или интересующие пользователя файлы. Когда пользователь открывает такое вложение, система становится заражённой. Заражённый компьютер может распространять троян на другие устройства, становясь частью глобальной сети «компьютеров-зомби». Эти системы находятся под контролем злоумышленников, которые могут использовать их для создания ботнетов, проведения DDoS-атак или других противоправных действий^[1].

Активация троянского вируса происходит только после выполнения определённых действий пользователем, таких как посещение конкретного веб-сайта или использование определённого приложения. В зависимости от типа трояна и целей его создателей, вирус может либо самоуничтожиться после выполнения задачи, либо перейти в спящий режим, ожидая новых команд, либо продолжать оставаться активным даже после завершения запланированных операций^[1].

Цели

Трояны могут использоваться для различных целей:

Кража данных: личные данные, логины, пароли, банковская информация
Шпионаж: мониторинг активности пользователя для сбора информации
Деструкция: уничтожение файлов или нарушение работы системы
Создание ботнетов: заражённые устройства объединяются в сети для проведения DDoS-атак или рассылки спама
Рассылка спама: использование заражённых устройств для массовой рассылки рекламных писем^[3]

Методы распространения

Трояны распространяются различными способами:

Фишинг: Злоумышленники отправляют электронные письма с вложениями или ссылками на заражённые файлы
Эксплуатация уязвимостей: использование уязвимостей в операционных системах или приложениях для автоматической установки трояна
Пиратский софт: распространение троянов через нелегальные версии программного обеспечения
Общедоступные Wi-Fi сети: злоумышленники могут внедрять трояны через незащищённые сети
USB-накопители: автоматическая установка троянов с флеш-накопителей^[4]

Типы

Троянские программы классифицируются в зависимости от выполняемых ими действий на компьютере:

Бэкдор (Backdoor)

Программы-бэкдоры позволяют злоумышленникам удалённо управлять заражёнными устройствами. Они предоставляют доступ к файлам, данным и управлению системой, что может использоваться для создания ботнетов или зомби-сетей с целью совершения киберпреступлений^[2].

Эксплойт (Exploit)

Эксплойты — специальные программы, которые эксплуатируют уязвимости в операционных системах или приложениях, чтобы получить контроль над устройством или внедрить дополнительное вредоносное ПО. В отличие от классических эксплойтов, троян-эксплойт чаще всего распространяется под видом полезного ПО. После активации такой троян может создавать бэкдоры, красть данные или загружать дополнительное вредоносное ПО на заражённую систему^[2].

Банковский троян

Эти программы предназначены для кражи данных, связанных с интернет-банкингом, электронными платежами и банковскими картами. Например, Clampi — сложный троян, который маскируется под легитимное ПО и ждёт, пока пользователь введёт данные для онлайн-операций, после чего крадёт их^[2].

Троян Cryxos

Cryxos создаёт фальшивые сообщения об угрозах, например, «Ваше устройство взломано» или «Ваш компьютер заражён», и предлагает позвонить в «службу техподдержки». Злоумышленники вымогают деньги за «помощь» и могут получить удалённый доступ к устройству, чтобы украсть данные^[2].

Трояны для DDoS-атак

Данные программы используют заражённые устройства для проведения распределенных атак типа «отказ в обслуживании» (DDoS). Зараженные компьютеры отправляют массовые запросы к целевым серверам, вызывая их перегрузку и выход из строя^[2].

Троян-загрузчик

Эти программы способны загружать и устанавливать дополнительное вредоносное ПО на устройство, включая другие трояны, рекламное ПО или шпионские программы. Троян-загрузчик скачивает их с удалённых серверов после проникновения в систему. Такой механизм позволяет злоумышленникам обновлять или изменять типы атак, делая борьбу с ними более сложной для антивирусных систем^[2].

Троян-дроппер

Трояны-дропперы используются для установки других вредоносных программ или для маскировки их присутствия. Некоторые антивирусы могут не обнаруживать все компоненты таких троянов. Дроппер содержит вредоносные модули внутри себя и разворачивает их непосредственно на устройстве жертвы без необходимости скачивания из внешних источников. Основная цель трояна-дроппера — обеспечить доставку и инициализацию различных типов вредоносного ПО, таких как шифровальщики, бэкдоры или криптомайнеры^[2].

Троян FakeAV

Программы этого типа имитируют работу антивирусного ПО, сообщая о якобы существующих угрозах. Они требуют оплату за «устранение» этих угроз, хотя реальных проблем нет. После оплаты проблема обычно не решается, а в некоторых случаях устройство может быть дополнительно заражено другими типами вредоносного ПО^[2].

Троян GameThief

GameThief — то тип вредоносного ПО кражи учётных записей и данных из онлайн-игр. Он собирает информацию, такую как логины, пароли и данные платёжных систем, связанные с игровыми аккаунтами, после чего передаёт их злоумышленникам^[2].

Троян Geost

Geost — это банковский троян для Android, распространяемый через сторонние приложения. Он запрашивает разрешения для заражения устройства и кражи данных. Его авторы были частично выявлены благодаря ошибкам в безопасности^[2].

Троян IM (Instant Messaging)

Трояны-IM крадут учётные данные мессенджеров (например, WhatsApp, Skype). После проникновения в систему такой троян может получить доступ к логинам, паролям и истории чатов популярных сервисов общения и использовать их для отправки вредоносных ссылок контактам пользователя или участия в DDoS-атаках^[2].

Троян Mailfinder

Троян Mailfinder — это специализированная вредоносная программа, предназначенная поиска и кражи адресов электронной почты из клиентов мгновенных сообщений (IM) и других приложений. После заражения системы он сканирует локальные файлы и память устройства, собирая адреса электронной почты контактов пользователя. Собранная информация затем передаётся злоумышленникам и может использоваться для спама, фишинга или продажи баз данных на чёрном рынке^[2].

Троян-вымогатель

Основной механизм действия таких троянов заключается в шифровании важных данных жертвы с использованием сложных алгоритмов, после чего злоумышленники предлагают ключ для дешифрования за определённую сумму. В некоторых случаях трояны-вымогатели могут также угрожать публикацией личной информации, если требования не будут выполнены. Без оплаты пользователь теряет доступ к своим данным^[2].

Троян удалённого доступа (RAT, Remote Access Trojan)

RAT-трояны позволяют злоумышленникам полностью контролировать устройство удалённо. Они могут собирать данные, шпионить за пользователем и использовать его устройство для дальнейших атак^[2].

Руткит (Rootkit)

Руткит может маскироваться под легитимное ПО, а после установки глубоко интегрироваться в операционную систему, скрывая активность других вредоносных программ. Благодаря своей скрытности, троян-руткит трудно обнаружить и удалить стандартными средствами защиты^[2].

SMS-троян

SMS-троян — вредоносная программа, специально созданная для кражи денег с мобильных устройств через отправку платных SMS на короткие номера. После установки на устройство такой троян может самостоятельно отправлять сообщения без ведома пользователя или перехватывать входящие SMS с конфиденциальной информацией, такой как одноразовые пароли. Вредоносное ПО обычно распространяется через фишинговые ссылки, пиратские приложения или небезопасные источники загрузки^[2].

Троян-шпион

Троян-шпион — это вредоносная программа, предназначенная для тайного сбора и передачи информации с заражённого устройства без ведома пользователя. Он может перехватывать личные данные, такие как пароли, переписку, историю посещений сайтов, а также записывать действия на клавиатуре и экране^[2].

Троян Qakbot

Qakbot — один из первых банковских троянов, созданных специально для кражи финансовых данных. Он часто используется в сочетании с другими инструментами для более эффективной атаки. Распространяется через фишинговые письма, содержащие вредоносные вложения или ссылки, после чего может самостоятельно обновляться и расширять свои возможности. Кроме того, Qakbot способен создавать ботнеты^[2].

Троян Wacatac

Wacatac — опасный троян, который может проникнуть в систему через фишинговые письма, сетевые передачи файлов или обновления ПО. Он крадёт конфиденциальные данные и предоставляет злоумышленникам удаленный доступ к устройству^[2].

Примеры атак с использованием троянов

Worm.WinCE.InfoJack

В начале 2008 года появилась информация о вредоносной программе, поражающей устройства на базе операционной системы Windows Mobile. Эта угроза получила название InfoJack. Программа распространялась через один из популярных китайских сайтов, специализирующихся на размещении легального программного обеспечения для мобильных устройств. Троян был внедрён в дистрибутивы различных приложений, таких как клиент для Google Maps и мобильные игры. Владелец ресурса позже заявил, что его действия не имели преступных намерений — якобы сбор данных о пользователях осуществлялся исключительно для анализа рынка мобильных приложений и улучшения предоставляемых услуг. Однако, деятельность сайта была прекращена спустя несколько дней, предположительно после начала расследования со стороны китайской полиции^[5].

RAT

В апреле 2021 года была выявлена рассылка с неизвестным ранее вредоносным содержимым, направленная в Монголию. В составе обнаруженных файлов оказались образцы с примечательными названиями, такими как «хавсралт.scr» (монгольское слово, означающее «вложение») и «Информация_Рб_июнь_2021_года_2021062826109.exe». Эти файлы содержали троян удалённого доступа (RAT). Позднее аналогичные атаки были зафиксированы в России, Беларуссии, Канаде и США. Глубокий анализ характеристик вредоносного программного обеспечения позволил установить связь между этим ПО и деятельностью группировки APT31. Данная хакерская группировка действует минимум с 2016 года, предполагается, что она имеет китайское происхождение и предоставляет собранные данные китайскому правительству и государственным организациям для достижения политических, экономических и военных целей^[6].

Примечания

↑ ^{Перейти обратно: 1,0} ^1,1 ^1,2 ^1,3 Тайный агент в вашем компьютере: что такое троянский вирус и как с ним бороться? (неопр.). Securitylab.ru (9 января 2024). Дата обращения: 9 февраля 2025.
↑ ^{Перейти обратно: 2,00} ^2,01 ^2,02 ^2,03 ^2,04 ^2,05 ^2,06 ^2,07 ^2,08 ^2,09 ^2,10 ^2,11 ^2,12 ^2,13 ^2,14 ^2,15 ^2,16 ^2,17 ^2,18 ^2,19 Что такое троян? Типы и методы удаления (неопр.). Kaspersky.
↑ Маркина Т. А. Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам // Диссертация. — 2014.
↑ Трубачев Е.С. Троянские программы: механизмы проникновения и заражения.
↑ Гостев А. Мобильная вирусология, часть 3 (неопр.). Securelist by Kaspersky (3 сентября 2009). Дата обращения: 8 февраля 2025.
↑ Новый дроппер группы APT31. Пункты назначения: Монголия, Россия, США и не только (неопр.). Positive Technologies (3 августа 2021).

[:0-1] {Перейти обратно: 1,0} ^1,1 ^1,2 ^1,3 Тайный агент в вашем компьютере: что такое троянский вирус и как с ним бороться? (неопр.). Securitylab.ru (9 января 2024). Дата обращения: 9 февраля 2025.

[:1-2] {Перейти обратно: 2,00} ^2,01 ^2,02 ^2,03 ^2,04 ^2,05 ^2,06 ^2,07 ^2,08 ^2,09 ^2,10 ^2,11 ^2,12 ^2,13 ^2,14 ^2,15 ^2,16 ^2,17 ^2,18 ^2,19 Что такое троян? Типы и методы удаления (неопр.). Kaspersky.

[3] Маркина Т. А. Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам // Диссертация. — 2014.

[4] Трубачев Е.С. Троянские программы: механизмы проникновения и заражения.

[5] Гостев А. Мобильная вирусология, часть 3 (неопр.). Securelist by Kaspersky (3 сентября 2009). Дата обращения: 8 февраля 2025.

[6] Новый дроппер группы APT31. Пункты назначения: Монголия, Россия, США и не только (неопр.). Positive Technologies (3 августа 2021).

[1]

[2]

[3]

[4]

[5]

[6]