Trojan Droppers: Amenazas disfrazadas, descubre qué es y cómo funcionan

¿Conoces la historia del caballo de Troya? Un gran caballo de madera entregado como un regalo y una ofrenda de paz, que luego terminó siendo la perdición de toda una ciudad. La historia del caballo de Troya nos deja como lección que no todos los regalos son lo que parecen, y por supuesto, que no todo lo que brilla es oro.

El mundo de la informática es muy amplio, y dentro del campo de la ciberseguridad, el mito del caballo de troya está muy bien representado. Los Trojan Droppers, o Droppers a secas son la versión digital del antiguo mito.

Programas o aplicaciones que ofrecen opciones atractivas e incluso útiles y, que en muchos casos de hecho, cumplen con lo anunciado, atrayendo a las personas a dejarlos entrar en sus dispositivos, tal como la imagen del caballo de madera a modo de regalo, invitaba a los troyanos a dejarlo entrar a su ciudad.

Al igual como el caballo de la historia estaba lleno de soldados dispuestos a salir cuando todos dormían para devastar a Troya, los Droppers esperan, se mantienen cumpliendo la función con la que atraen al usuario por un tiempo y luego despliegan su verdadero contenido.

¿Qué es exactamente un Trojan Dropper?

Dicho de manera más directa antes de entrar en detalles. Un Dropper es un programa o aplicación codificado con doble propósito, el primer propósito es transparente, se anuncia al usuario y busca atraerlo para descargar el archivo.

Podríamos estar hablando de una app para recuperar archivos borrados del disco duro, o un asistente de tareas que te de recordatorios, por dar algún ejemplo, algunos Droppers para teléfono han sido disfrazados como calculadores de impuestos para países específicos, y efectivamente si han cumplido con este fin.

La otra cara de la moneda, es el verdadero propósito de un Dropper. Mientras el usuario está confiado utilizando su dispositivo el Dropper se activa; quizá solicite una actualización pasado cierto tiempo, por lo cual un usuario que se encuentre satisfecho con la función señuelo del programa podría no tener problema en querer tener “una versión más reciente y mejor” de dicha aplicación.

Una vez el usuario accede a la descarga el Dropper iniciaría dicho proceso, el problema sería que no estaría descargando una nueva versión de sí mismo, sino la pieza de código faltante para infectar el ordenador o teléfono.

¿Qué podría hacer un Dropper a mi dispositivo?

Los Droppers pueden tomar muchas formas dependiendo del entorno que habitan y para el que son diseñados. Un ejemplo que cubrimos recientemente habla de cómo aplicaciones para Android que se encontraban sin problema en la Play Store resultaron ser Droppers que buscaban robar datos bancarios.

Una forma en la que lo hacen, al menos en teléfonos era mediante ataques de phishing, el programa desplegaba ventanas parecidas a las versiones legítimas de lugares de inicio de sesión y cuando el usuario introducía sus datos, estos eran robados.

Si hablamos de computadores la cosa es diferente. Un Dropper podría tras su activación dejar instalados códigos de ransomware en el ordenador para que un atacante que considere al usuario un blanco atractivo secuestre la información de su dispositivo para obligarlo a pagar un rescate o extorsionarlo con contenido sensible que pudiera obtener del terminal.

Maestros del disfraz

Un Dropper como dijimos antes atrae al usuario mediante un cebo útil o atractivo, con funciones llamativas que cualquiera quisiera poder tener. Pero este no es el único medio de camuflaje que tienen estos agentes dobles.

Seguramente te preguntas como servicios de distribución de software como lo son las Apps Store tienen estos programas maliciosos en su interior, especialmente con todo el empeño que se pone en certificar aplicaciones para evitar precisamente situaciones así.

Pues bien, los Droppers tienen una solución elegante a la vez que sencilla y que se encuentra precisamente en la carnada.

Un Dropper en esencia no es un código malicioso, en su código no hay ninguna línea que realmente permita un ataque de ransomware, ni tampoco programas espías que hagan «tracing» de la actividad del usuario.

En teoría incluso, podrías tener un Dropper en tu dispositivo que nunca actives y sea inofensivo si es del tipo que requiere que autorices una actualización. El Dropper burla los controles de seguridad porque lo que hace es descargar en el dispositivo la pieza de malware, sirviendo pues como un caballo de Troya que descarga amenazas, pero que en si mismo no representa una en su código.