OPINIÃO
DESENVOLVIMENTO DOS
PROGRAMAS TROJANS NO
CRIME INFORMÁTICO
Chefia funcional da Secção de Investigação de Crimes Informáticos da PJ
I. PREÂMBULO
A inter net ent rou em f u ncionamento em
Ma cau em mea dos dos a nos 90, nos mais de
10 a no s q u e s e s eg u i r a m , houve u m g r a nd e
desenvolvimento a nível de velocidade de cálculo
dos computadores, largura da banda e técnicas
de ligação como nas aplicações, nomeadamente,
melhorou a largura da banda da rede, a ligação
à internet pode ser feita também através da rede
móvel, para além disso, existem hoje vários tipos
de aplicações e platafor mas web na inter net.
Camin hamos g radualmente de uma era de
adquisição de informações, em que a inter net
servia essencialmente para efectuar pesquisas,
para uma era de vida on-line, onde integramos a
vida real com a internet, pode dizer-se que a rede
se tornou uma realidade a partir da virtualidade
e para muitas pessoas, a internet está-se a tornar
uma necessidade real.
No a mbie nt e de evoluçã o d a i nt e r net , o
cr i me i nfor mático t radicional desenvolve-se
gradualmente para crime cibernético. Pode-se
entender o crime cibernético como a extensão
do crime informático. O alvo principal do crime
informático são os dados guardados no sistema
122
Long Hon Wai
electrónico não solicitado (SPAM ), o phishing,
acesso não autorizado, furto de dados, escutas
telefónicas, negação de serviço em grande escala
e a b o t n e t, e nt r e out r o s , s ã o exe c ut a d o s n a
internet sobretudo através de programas trojans,
que são hoje uma ferramenta importante utilizada
no crime cibernético.
II. CAR ACTERÍSTICAS E
PRINCÍPIOS DE FUNCIONAMENTO
DO TROJAN
O nome do programa trojan ou cavalo de
Tróia vem da mitologia grega, durante a guerra
de Tróia, os gregos utilizaram um grande cavalo
e m m a d e i r a p a r a e s c o n d e r s old a d o s , a s si m
conseguiram introduzir-se subrepticiamente na
cidade de Tróia. À noite, os soldados saíram do
cavalo, abriram o portão da cidade e permitiu
ao resto do exército grego de entrar e vencer
o inimigo. Esta histór ia mitológica explica o
funcionamento de um destes programas malware
que têm como característica a camuf lagem e a
dissimulação.
(I) CARACTERÍSTICAS DO
PROGRAMA TROJAN
informático, ou o aproveitamento das facilidades
O trojan é dissimulado e autoexecuta-se,
que os computadores e a internet oferecem para
estando normalmente escondido entre arquivos
executar vár ios tipos de cr imes t radicionais.
executáveis, fotos, páginas web ou aplicativos
Por sua vez, no crime cibernético, quer os alvos
gerais, permanece no sistema informático alvo
e modus operandi, quer o espaço-tempo, estão
por muito tempo possível evitando a detecção
virados para a internet, por exemplo, o correio
e eliminação por parte de programas anti-vírus
OPINIÃO
e s p e c í f ic o s . Um a ve z i n s t a l a d o n o si s t e m a
que os descobrir envia-os aos hackers.
i n f o r m á t i c o , o t r o j a n p o d e i n s t a l a r- s e e m
2. Trojan que registam a digitação das teclas
qu alque r pa r t e do comput a dor aproveit a ndo
O prog r a ma reg ist a , d issi mu la d a ment e,
da vulnerabilidade do sistema operativo ou de
todas as coisas que são digitadas pelo utilizador
erros nos arquivos executáveis, furtando dados
do computador servidor, guardando-as na forma
importantes do utilizador daquele computador,
de arquivo que é depois enviado ao hacker, este
em casos mais graves pode ser utilizado para
analisa o conteúdo do arquivo e assim espia os
c o n t r ol a r r e m o t a m e n t e a r e d e o n d e a q u el e
movimentos do dono do computador.
comput a dor ope r a , i n fe ct a ndo -a. O t rojan é
3. Trojan de controlo remoto
um programa pequeno e não consome muitos
Q u a ndo o comput a dor se r v idor onde se
recursos do sistema durante a execução, se não
instala o trojan de controlo remoto está ligado
houver programas de segurança, é muito difícil
f i sic a m e nt e à r e d e , t o m a a i n ic i a t iv a d e s e
para o utilizador normal detectar a existência de
conectar automaticamente, permitindo o acesso
um trojan.
remoto do hacker ao computador que poderá
(II) PRINCÍPIOS DE FUNCIONAMENTO
DO PROGRAMA TROJAN
controlar aquela máquina e executar todos os
comandos que quiser.
4. Trojan Proxy
Um programa trojan completo é composto
O hacker utiliza o sistema informático onde
por duas partes, o servidor (SERVER) e o cliente
instalou um trojan Proxy como um trampolim
(CLIEN T ). A pa r te que é i nst ala d a com má s
para a prática de crimes, através deste trojan,
intenções no computador alvo é considerada o
oculta o seu paradeiro e identidade real para
ser vidor. Os hackers ent ram na rede onde se
evitar de ser investigado.
encont ra ligado aquele computador usando o
5. Trojan de negação de serviço
ser vidor. Na realidade, o ser vidor e o cliente
Os hackers conseg uem pôr sob cont rolo
são ligados através da internet ou redes locais,
dez e n a s de m i l h a r e s de c omput a dor e s onde
um canal de comunicação é estabelecido entre
se i nst ala o t rojan de negação de ser viço,
os dois, realiza-se a conexão e estabelece-se
e nv ia m si mu lt a ne a me nt e com a ndos à quele s
a comu nicação de acordo com o endereço
computadores, através dos trojans instalados,
I P (In te r n e t P rot o c ol ) e a s r elat iva s p or t a s
para executar um ataque de negação de serviço
existentes, concretizando assim a tentativa de
em grande escala, contra um determinado sistema
furto dos dados ou a intrusão na rede utilizada
informático, tentando esgotar os seus recursos e
p elo c omput a dor, do la do do se r v idor, pa r a
paralisando o seu funcionamento.
conseguir o seu controlo a distância. A seguir,
6. Rebound ports Trojan
iremos falar nos tipos mais comuns de trojan.
Este trojan é projectado para ultrapassar
1. Trojan que enviam dados
eventuais programas de protecção firewall que
É um tipo de trojan que especializado no
possam estar instalados, visto que a maioria dos
furto dos dados e senhas dos usuários, uma vez
f irewalls efectua um f iltro de vigilância mais
activado, o programa procura automaticamente,
rigorosa sobre as conexões que vêm de fora para
no computador infectado, a memória do sistema,
o comput ador do que as de dent ro para fora,
os arquivos temporários, o historial de navegação,
o rebound ports trojan funciona exactamente
os códigos guardados, eventuais dados de cartões
ao cont rá r io, o comput ador ser v idor detect a
de crédito e outros tipos de dados valiosos, assim
r eg u l a r m e nt e s e o c o m p u t a d o r cl ie nt e e s t á
123
OPINIÃO
on-line, quando for assim, o ser vidor toma a
(I) ANÁLISE DA FORMA COMO
iniciativa para enviar um sinal ao cliente para
ACONTECE A INTRUSÃO DE UM TROJAN
poder est abelecer u m ca nal de comu n icação
NO SISTEMA DE REDE
através do trojan.
7. Trojan de extorsão
Este t rojan é muito dest r ut ivo, encr ipt a
u n i lat e r a l e for ç os a me nt e t o dos os t ip os de
ficheiros no sistema informático, desta forma o
utilizador do computador não consegue abri-los,
é-lhe pedido para pagar um resgate ao hacker,
para poder obter uma sen ha que ser virá para
desbloqueá-los.
III. PREJUÍZOS CAUSADOS EM
MACAU PELOS TROJANS
124
Segundo os dados obtidos na investigação de
crimes passados, nas burlas praticadas por meio
da internet e as compras feitas recorrendo a dados
de cartões de crédito furtados, a maioria destas
vítimas antes tin ha recebido e aber to cor reio
electrónico que trazia links de phishing, tinham
seguido o link que vinha no e-mail, acabando
por ser vítimas de furto de dados, informações
a s s o cia d a s a o ut i l i z a d or, c a r t õ e s ba nc á r io s
e códigos, isto t udo posto em prática por um
site falso que f i ng ia ser u m site of icial. Nos
últimos anos, tem-se verificado uma melhoria na
Nos ú lt i mos a nos , t e m- se reg ist a do u m
consciência de prevenção por parte de população
número crescente de casos, isto é devido ao facto
a ce rca dos e - m ail s c om eve nt u a is phi shing,
que a consciência de segurança acerca da internet,
ju nt a-se a isso o facto de os for necidores de
por par te da população, não acompan ha a
serviços de correio electrónico estão hoje quase
generalização do seu uso e o seu desenvolvimento,
t o d o s e q u i p a d o s c o m f u n ç õ e s d e f i lt r a g e m
por outro lado, os hackers continuam a melhorar
nesse respeito, o que deveria levar, na teoria, a
as suas técnicas de intrusão. Hoje em dia, o crime
que os crimes de burla informática e consumos
cibernético já não se limita a esfera tradicional
feitos com dados furtados de cartões de crédito
de crimes praticados via internet, como extorsões
estivessem controlados, no entanto continuam a
consequentes a nude chats, compras efectuadas
aumentar, isto significa que as formas utilizadas
com car tões falsif icados, bu rlas, cor reio
pelos hackers para fur tar dados estão sempre
electrónico que tenta roubar senhas (phishing),
em mudança. Para além do correio de phishing
crimes que causam problemas na vida das pessoas
tradicional, os programas trojan são um novo e
e prejuízos financeiros. Um número crescente
mais eficaz método para furtar informações.
de criminosos aproveita das facilidades que a
Na investigação de casos de intrusão, com
i nter net proporciona para praticar cr i mes de
prog rama P2P t rojan que visam f u r t ar dados
vá r ios t ipos, como i nt r u são, at a ques, bu rlas
pessoais, apu rou-se que o hacker geral mente
i n for mát ica s, f u r to de d a dos i n for mát icos e
engloba o programa trojan numa aplicação normal
obstrução de sistemas de rede, além fronteiras e
e com vários tipos de arquivos com o intuito de
que actuam cruzando as fronteiras do tempo e do
ocultar a sua presença, envia este arquivo para
espaço. Os novos tipos de crime cibernético e o
as vítimas quem são levadas a abri-lo, activando
que daí advém, influenciam a vários níveis a vida
assim também o trojan que se autoinstala, por
da população, representam um perigo muito maior
sua vez, escreverá novas linhas no programa de
do que o crime informático no passado, no que
autoexecução do sistema, se houver outros trojans
diz respeito a danos financeiros e perturbações à
noutros programas, irão ser facilmente activados,
segurança dos dados informáticos.
depois, devido à v ulnerabilidade do sistema,
OPINIÃO
acontecem vários tipos de intrusões, que servem
pessoais mas também em sistemas de operadores
para furtar as senhas que o utente usa nas redes
de serviços de comunicações e de bancos, o que
sociais, nos programas de mensagens instantâneas,
pode produzir fuga de informações pessoais e a
no correio electrónico e nos jogos que funcionam
parálise do sistema de comunicações. Em Julho
na internet e que a vítima utiliza com frequência,
de 2013, por exemplo, u m t rojan i nst alou-se
mais tarde, estas senhas são utilizadas para simular
no ser vidor de cor reio electrónico do ser viço
o login feito pela vítima, espalha ulteriormente o
de correio electrónico em Macau, foram assim
trojan e acontecem todos os tipos de burla. Para
f u r t a d a s i n fo r m a ç õ e s d e e - m a i l d e a l g u n s
além disso, existe ainda uma outra forma utilizada
utilizadores, o que também causou falhas no
frequentemente pelos hackers hoje, nomeadamente
ser viço de cor reio electrónico durante algum
a transmissão de trojans através de páginas web
tempo, afectando a recepção e envio normal de
(sistema conhecido como “drive-by downloads”),
e-mail. Em Ma rço de 2014 fora m detect ad as
o hacker insere um programa trojan numa página
a nom a l ia s n a lg u m a s m á q u i n a s AT M d e u m
web recorrendo a um pequeno programa Script
banco em Macau, os ecrãs f icavam inactivos
ou ActiveX, ao visitar aquela site, o trojan instala-
sem aparente razão. Mais tarde descobriu-se que
se automaticamente no sistema informático do
os dados dos cartões bancários e os códigos de
visitante. A transmissão feita desta forma tem
mais de 80 clientes que tinham utilizado aquelas
um efeito mais óbvio e causa maiores prejuízos
máquinas, tinham sido furtados e utilizados para
comparando com uma intrusão ponto-a-ponto. Ao
levantar dinheiro noutros países, o caso envolveu
realizar inspecções em sistemas informáticos onde
cerca de 700 mil patacas. Em Maio de 2014, a
estavam instalados programas trojans, verificou-
Polícia Judiciária deteve dois estrangeiros, por
se que em muitos casos existiam, há muito tempo
ter verificado que, desde a segunda metade de
ne st e s si st e m a s , u m a g r a nde q u a nt id a de de
2013, tín ham inst alado prog ramas t rojan em
vulnerabilidades, configurações inapropriadas
algumas máquinas ATM de um banco em Macau,
e erro de gestão, factores estes que propiciam
furtando, desta forma, informações dos cartões
a actuação dos hackers. Os programas trojans
bancários e os códigos dos utentes. No mesmo
são elaborados de forma meticulosa e são muito
complexos. Um destes trojans é composto por
vários procedimentos e é multifuncional, o pior é
que nalguns computadores instalam-se trojan de
controlo remoto, tornando aquela máquina parte
de uma botnet, que executa de forma dissimulada,
acções de spam, ataques de negação de serviço
e m g r a n d e e s c a l a e t c., f a z e n d o c o m q u e o s
computadores infectados se transformem no bode
expiatório destas crises.
( I I) I N VA S ÃO D E T R O J A N S N A S
REDES DOS OPERADORES DE SERVIÇOS
DE COMUNICAÇÕES E DOS BANCOS
mês, houve um ataque de negação de ser viço
em g ra nde escala v i ndo de fora , ao ser v idor
DNS do for necedor de ser viço de inter net em
Macau, fazendo com que houvesse uma cer ta
instabilidade no serviço fornecido.
Du rante a investigação, os agentes
descobriram que os dois homens, de nacionalidade
ucraniana, detidos no dia 26 de Maio de 2014,
tin ham inst alado o prog rama denominado
Tr o ja n . S k i m m e r e m v á r i a s m á q u i n a s AT M
at ravés de técnicas i nfor máticas, para poder
furtar dados de cartões bancários e os códigos
dos clientes que utilizavam aquelas máquinas. De
acordo com a análise sobre o programa Trojan.
Nos últimos anos, o fenómeno da intrusão
Skimmer, realizada pela Doctor Web, fornecedora
de trojan não acontece apenas em computadores
r ussa de soluções de seg u ra nça , desde a su a
125
OPINIÃO
pr i mei ra detecção, há poucos anos, já foram
e si m ple s a f u n ç õ e s c o m p o s t a s. H á s e m p r e
desenvolvidas mais de dez versões do programa.
vár ias f u nções específ icas nu m prog rama
Verificou-se assim que a versão mais actualizada
t r oja n, k e ylog ge r, e nv io d e p a l av r a s - ch ave
pode infectar as máquinas ATM produzidas por
e c ont r olo r e mot o e nt r e out r o s , e t e nd e m a
u m fabr icante est rangei ro. O Trojan regist a,
especializar-se. Pode haver classif icações de
furtivamente, no sistema operativo da máquina,
Trojan-Banker, Trojan- Game Thief e Trojan-
os dados ar mazenados na faixa 2 dos car tões
IM, entre outros, de acordo com as aplicações
magnéticos inseridos, enquanto isso, ultrapassa
para os quais são dirigidos.
a função que encripta os códigos inseridos e os
regista, grava os dados f ur tados em arquivos
t e m p o r á r i o s d o s i s t e m a d a m á q u i n a AT M ,
per m it i ndo assi m ao cr i m i noso de os copia r
posteriormente. A par disso, o trojan pode fazer
est at íst icas sobre os d ados f u r t ados desde o
Os métodos de divulgação destes programas
passam da simples transmissão unidireccional,
para um deter minado alvo, usada no passado
p elo s h a c k e r s, p a r a u m a p r o p a g a ç ã o a m pl a
momento em que a ATM é infectada, e também
n a i nt e r n e t a t r avé s d e d r i v e - b y d o w n lo a d s,
pode actualizar e apagar os vestígios deixados
forma muito utilizada hoje em dia. Os hackers,
no momento da instalação. Estes programas são
orientados pelos temas quentes das pesquisas
elaborados muito meticulosamente, cada parte do
efectuadas, escolhem os websites mais visitados
trojan é projectada focando a vulnerabilidade da
como alvos do ataque. Se a invasão tiver sucesso,
máquina alvo.
instala-se imediatamente o trojan no website,
Neste caso, apesar de est arem i nst alado
que, ao ser visitado, passa o programa trojan ao
sof t wa re s de prot e cçã o n a quela s m á qu i n a s ,
computador do visitante. Para além disso, por
foram instalados e executados estes programas
causa da falta de manutenção regular por parte
invasores. Aparentemente havia, há muito tempo,
dos muitos websites, uma vez instalado o trojan,
um ponto de quebra ent re o ataque do trojan
n ã o s e r á fá ci l d e s c ob r i-lo, a la rg a ndo a s si m
e a acção de defesa do soft ware da máquina.
invisivelmente os riscos de espalhar o trojan.
Infelizmente, as técnicas de ataque estão sempre
(III) ATAQUES MULTIPLATAFORMA
a vanguarda em relação às de defesa.
IV. TENDÊNCIAS DA UTILIZAÇÃO
DE TROJANS NA CRIMINALIDADE
CIBERNÉTICA
No que concerne aos ataques e a defesa dos
trojans, as técnicas de ataque está sempre em
vantagem, por isso, pode dizer-se que a análise
das tendências do desenvolvimento dos trojans é
uma medida efectiva de defesa. A seguir veremos
as tendências gerais de desenvolvimento dos
programas trojans.
(I) COMPOSIÇÃO E ESPECIALIZAÇÃO
As f u nções dos t rojans vão de ú nicas
126
(II) AMPLA PROPAGAÇÃO
No início, os programas trojans surgiram na
plataforma do sistema operativo “UNIX”, mais
tarde, com a popularização dos computadores
pessoais, apareceram programas trojans
pa ra os pr i ncipais sistemas operat ivos como
WINDOWS, MAC OS etc. Hoje em dia, o trojan,
num crescimento ainda mais acelerado, entrou
nas plataformas dos sistemas operativos móveis
“A n d r o i d ”, “ i O S ” e t c . U m e s t u d o s o b r e a
segurança dos smartphones na China continental,
realizado pelo Centro de Segurança 360, mostra
que houve 671 mil trojans em smartphones em
2013, sendo uma subida de 4,4 vezes em relação
a o s 12 4 m i l e m 2 012 . Fic a e v i d e n t e q u e o s
OPINIÃO
smartphones são agora o novo alvo dos ataques
Os programas trojans caem nas mãos dos quem
dos trojans.
está no nível mais baixo desta cadeia, ou seja,
(IV) TÉCNICAS MAIS SOFISTICADAS
DE CAMUFLAGEM E DISSIMULAÇÃO
Pa r a l a n ç a r n o m e r c a d o o m a i s r á p i d o
possível os seus productos e at rair os
consu m idores, quem desenvolve os sistemas
operativos e as aplicações encur tou,
inevitavelmente, o cíclo de desenvolvimento do
software, reduz-se assim a detecção de falhas
que levam a existência de muitos defeitos de
seg u r a nça nos sof t wa re s. Embor a a m aior ia
dos softwares tenha disponível uma função de
correcção dos defeitos, através da actualização
on-line e se tenha melhorado muito a protecção
dos programas anti-trojan, as intrusões e ataques
mantêm-se const antemente nu ma posição de
vantagem, ou seja chegam primeiro, os hackers
aproveit a m d a s lacu na s de seg u r a nça não
detectadas e utilizam novas técnicas para alterar
códigos característicos dos trojans, para fugir à
detecção e eliminação pelos softwares de defesa,
surgindo, assim, grandes quantidades de técnicas
n ov a s d e c a m u f l a g e m e d i s s i m u l a ç ã o , q u e
acabam por acelerar a actualização dos trojans.
(V) APARECIMENTO DA CADEIA DA
INDÚSTRIA
intrusos a tempo inteiro que furtam informações
pessoais, que prat ica m todo o t ipo de cr i me
com as infor mações que possuem, ou volta a
vendê-los para os níveis acima para lucrar.
V. CONCLUSÃO
Desde que a tecnologia 3G está plenamente
funcional e com a generalização dos smartphones,
existem variadíssimas aplicações para aparelhos
móveis, como correio electrónico, comunicações,
pagamentos, armazenamento de dados em nuvens
etc., que de facto facilitam muito a nossa vida,
mas que t a mbém si mplif ica m a i nt r usão por
parte dos hackers através dos programas trojans,
causando uma grave ameaça para o dia-a-dia
e os bens das pessoas. Está previsto que com a
chegada da rede móvel 4G o trafego de dados
au mente ai nd a mais, isto sig n if ica que, nu m
futuro próximo, mais aplicações poderão integrar
os smartphones e o número de trojans presentes
em smar t phone s i r á subi r, nu ma prog ressã o
geomét r ica , t alvez u lt r apa sse at é os t rojan s
dedicados aos computadores pessoais. Teremos
que t e r e m at e nçã o e e st ud a r t odos ju nt os a
prevenção, detecção e eliminação dos trojans nos
smartphones.
No i n ício, os mot ivos que levava m a
A par disso, dados guardados nos serviços
escrever prog ramas t rojans eram, para além
de armazenamento e o relativo processamento
d e e x i bi r a s c a p a c id a d e s t é c n ic a s d e q u e m
bem como a moeda digital, são a tendência de
o s f a z i a , i nv a d i r o s c o m p u t a d o r e s e f u r t a r
desenvolvimento do web, guardaremos na rede
infor mações pessoais. Hoje em dia, como os
mais informações pessoais e coisas de propriedade.
dados informáticos são cada vez mais valiosos,
Dev ido ao valor dos d a dos, for necedores de
chegando a ser equivalentes aos do mundo real,
serviços de rede, institutos financeiros e sistemas
i mpulsionados por lucros ilícitos av ult ados,
públicos irão tor nar-se alvos da int r usão dos
começam a existir cadeias industriais de
trojans. Por isso, os gover nos devem elaborar
programação de trojan. No topo desta cadeia
políticas urgentes, para convencer a indústria de
estão os programadores, que vendem os códigos
rede a melhorar a gestão de riscos e o combate à
e r elat ivos t ut or ia is pa r a os g ros sist a s que,
intrusão de programas trojans, construindo com o
revendem-nos para os outros níveis seguintes.
público uma plataforma de rede mais segura.
127