1.5.2.3 Trojaner

Als Trojanische Pferde oder Trojaner werden Programme bezeichnet, die scheinbar eine nützliche Applikation darstellen, deren eigentlicher Sinn jedoch darin besteht einem Angreifer Hintertüren zu installieren, über die er sich im System anmelden kann. Es gibt verschiedene Arten von Trojanern, doch die meisten bestehen aus einem Server, der an einem vorgegebenen Port auf Anfragen eines Angreifers wartet. Durch das Warten auf Anfragen an einem bestimmten Port sind diese Server recht leicht mit einem Portscanner zu entdecken.

Trojanische Pferde kamen in der Praxis bei einem Spionagefall beim DLR im Frühjahr 2014 und im Zusammenhang mit dem DNSDomain Name System Changer-Fall im Jahr 2011 vor (siehe Angriffe auf das Domain Name System), der ca. 4 Mio. Rechner betraf. Ein schwierig abzuwehrender Trojaner ist der Zeus-Trojaner, der insbesondere zum Ausspionieren von Bankzugangsdaten und anderen Login/Passwortkombinationen genutzt wird. Trojaner werden zum Teil auch als Baukasten für relativ wenig Geld angeboten, so dass viele einen solchen einsetzen können (siehe Meldung über BlackShades Trojaner).

Das Botnetz ZeroAccess ist eine Bespiel für ein Botnetz, dass durch Trojanische Pferde gebildet wurde. Es umfasste zwischenzeitlich mehr als 2 Mio. Rechner, die zum Click Fraud eingesetzt wurden (das Errechnen von Bit Coins wurde zwischenzeitlich nicht mehr gemacht, siehe Seite 6 im Report von Sophos). Diese Art von Betrug bezieht sich auf Werbemodelle im Internet, bei den eine Firma Geld bezahlt, wenn ihr Werbebanner auf einer anderen Internetseite angeklickt wird. Bei diesem Betrug werden die angeblichen Nutzerklicks jedoch vom Botnetz ausgeführt.

Während die meiste Schadsoftware sich auf Windows-Betriebssysteme bezieht (laut BSI-Lagebericht 2014 95%), dürfen die Benutzer anderer Betriebssysteme auf keinen Fall davon ausgehen per se geschützt zu sein. Daher sei an dieser Stelle auf das Trojanische Pferd Flashback verwiesen, das laut Zdnet.com 600.000 Macs betraf und auf einer Java-Schwachstelle beruhte. Schwachstellen können aber genauso bei Linux vorkommen (siehe Wikipedia.de-Artikel über Shellshock).

Der typische Schadcode, der für Angriffe auf mobile Endgeräte verwendet wird, fällt unter die Trojaner-Kategorie (siehe Seite 16 im Symantec Internet Security Threat Report). Dabei tarnen sich Schadprogramme als nützliche Apps. Hierbei stellt sich die Situation bei iOS und Android, den beiden führenden Plattforme, unterschiedlich dar. Bei iOS sind zwar deutlich mehr Schwachstellen bekannt, die führen jedoch nicht zu mehr tatsächlichen Angriffen, weil Apple die Nutzer zur Verwendung des Firmen-eigenen Stores zwingt. Bei Android können die Nutzer jedoch direkt fremde Apps installieren und sich so eher mit Schadcode infizieren. Außerdem gilt Google als weniger restriktiv bei der Zulassung zu deren App Store. Laut BSI-Lagebericht 2014 ist 98% aller mobilen Schadsoftware für Android-Geräten geschrieben. Eine Schwierigkeit der Android besteht auch darin, dass bei vielen Smartphones schon nach kurzer Zeit keine Aktualisierungen mehr möglich sind. So sind ältere Smartphones wesentlichen Angriffsmöglichkeiten ausgesetzt, die bis Android-Version 4.1.2 in Kombination mit dem Standardbrowser möglich waren.

Nicht versteckt, sondern direkt mit eigener Webseite wird für den Trojaner FlexiSpy geworben, wobei die Anwendungsgebiete untreuer Ehepartner, Schutz von Kindern und Mitarbeiterüberwachung genannt werden. Gelingt es diese Software unerkannt auf dem Zielgerät zu installieren, ist es möglich, komplette Bewegungsprofile zu erstellen, unbemerkt Kamera und Mikrofon des Smartphones aus der Ferne zu bedienen, Gespräche mitzuhören und Passwörter zu knacken.

Anmerkung
Die Abkürzung "Trojaner" für "Trojanisches Pferd" verdreht die historische Analogie. Die Stadt Troja (an der Westküste der heutigen Türkei) wurde der Sage nach von den Griechen belagert, die scheinbar die Belagerung aufgaben und ein hölzernes Pferd zurückliessen. Dieses Pferd wurde von den Trojanern in die Stadt gezogen, so dass einige griechische Soldaten, die sich im Inneren des Pferdes befanden, mit in die Stadt gelangten. Diese konnten später unbemerkt die Stadttore öffnen und so den Griechen die Eroberung der Stadt ermöglichen. In einem trojanischen Pferd befinden sich also Griechen und keine Trojaner.