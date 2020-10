Microsoft löysi Android-kiristäjän, joka käyttää entuudestaan tuntemattomia keinoja kiristysviestinsä esittämiseen.

Arvokkaat tiedot panttivangiksi ottavat kiristysohjelmat ovat etenkin yritysten vitsaus. Tavalliset käyttäjätkään eivät ole kiristysohjelmilta suojassa, mikä on pitkään pitänyt paikkansa myös Android-laitteiden osalta.

Microsoft kertoo uudessa tutkimuksessaan Android-kiristäjästä, joka todistaa rikollisten keksineen kokonaan uuden tavan hyökätä puhelimiin. Tutkimuksesta uutisoi Ars Technica.

Kyseessä on MalLocker-nimisen haittaohjelman uusi versio, jota levitetään haitallisilla verkkosivuilla ja keskustelupalstoilla esimerkiksi peliksi tai videosoittimeksi naamioituna. Sitä ei ole nähty tiettävästi ainakaan Play-kaupassa.

Tosin tämä ei takaa turvallisuutta. Moni haittaohjelma leviää siten, että alun perin asiallinen sovellus muuttuu vihamieliseksi lataamalla puhelimeen asentamisen jälkeen haittaohjelmakomponentteja. Tällaisia hyökkäyksiä vastaan sovelluskauppojen turvamekanismien on vaikea puolustautua.

– Uusi versio kiinnitti huomiomme, koska se on kehittynyt haittaohjelma, jossa on ilmiselviä haitallisia piirteitä ja käyttäytymismalleja, mutta se on silti pystynyt väistämään monet suojaukset, Microsoft kirjoittaa.

Aiemmin Android-kiristäjät käyttivät tyypillisesti hyväkseen Androidin lupaa, joka on tarkoitettu hälytysten tai virheilmoitusten esittämiseen puhelimen ruudulla. Tätä ilmoitusta ei voi ohittaa, mikä teki siitä houkuttelevan keinon esittää uhrille kiristysviesti ja estää pääsy puhelimeen ennen lunnaiden maksamista. Google kuitenkin teki Androidiin muutoksen, joka käytännössä esti tämän hyökkäystavan.

Uusi MalLocker iskee sen sijaan Androidin ilmoituksiin, jotka esitetään puhelun saapuessa. Ilman mitään todellista puhelua haittaohjelma osaa käyttää toimintoa hyväkseen ja vääristää puheluista tulevat ilmoitukset kiristysviestiksi, jota uhri ei voi välttää. Viesti pelottelee käyttäjää poliisin nimissä tai väittämällä, että laitteelta on löytynyt alastonkuvia. Nämä ovat vanhastaan käytettyjä keinoja, vaikka itse hyökkäystekniikka onkin uusi.

Uuden MalLockerin koodista löytyi myös todisteita koneoppimisesta. Se tarkoittaa kykyä tunnistaa kohdelaite ja sovittaa kiristysviesti sen näytölle. Tällä tavalla kiristysviesti näyttää uskottavammalta, kun se esitetään oikeassa kuvasuhteessa ilman vääristymistä. Koodinpätkä ei ole vielä toiminnassa, mutta sen olemassaolo viittaa aikomuksiin ottaa se käyttöön myöhemmin.

Microsoftin Defender-virustutka tunnistaa haitan, mutta yhtiön mukaan moni muu virustutka ei siihen pysty. Käyttäjän kannattaa suojautua kiristysohjelmilta paitsi käyttämällä luotettua virustutkaa, myös välttämällä verkkolinkkien huoletonta avaamista ja lataamalla sovelluksensa vain Googlen virallisesta Play Kaupasta. Tärkeistä tiedoistaan tulee ottaa säännölliset varmuuskopiot.