Suomalaisille levitetään puhelimiin FakeCop- eli FakeSpy- eli Roaming Mantis -haittaohjelmaa ja kytketään puhelinnumero iCloud-laskutukseen - Tietoturva - Ilta-Sanomat

Tällainen on suomalaisten puhelimiin parhaillaan levitettävä haittaohjelma – ”Voidaan puhua epidemiasta”

Postin nimissä tehtävä huijauskampanja iskee sekä Android- että iPhone-käyttäjiin. Vaarana ovat haittaohjelma ja mobiililaskutus.

Käyttäjän puhelinnumero yritetään kytkeä Apple-tilin mobiililaskutusta varten. Android-puhelimeen tarjotaan lisäksi haittaohjelmaa.­

27.1. 7:00

Suomalaisten puhelimiin levitetään haittaohjelmaa tekstiviestillä, jota lähetetään Postin nimissä. Viestissä oleva linkki ohjaa verkkosivulle, joka yrittää asentaa Android-puhelimiin haittaohjelman. IPhone-käyttäjiin isketään toisella tavalla.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen kertoo, että nyt aktiivinen levityskampanja on ollut käynnissä vuodenvaihteesta alkaen.

– Havaintojemme perusteella voidaan puhua epidemiasta. Tuorein tapausketju on lähtenyt voimistumaan tammikuun ensimmäisellä viikolla.

Android-puhelimiin ujutettava haittaohjelma leviää apk-paketin eli sovelluksen asennuspaketin muodossa verkkosivulta, jonne harhautetaan tekstiviestissä olevaa linkkiä klikkaamalla. Hyökkäys ei hyödynnä mitään tunnettua haavoittuvuutta, eli pelkkä sivulla käyminen ei saastuta puhelinta.

Haittaohjelma tunnetaan nimellä FakeCop, FakeSpy tai Roaming Mantis. Nimien moninaisuus johtuu yleensä siitä, että eri tietoturvatoimijat nimeävät löydöksensä itsenäisesti.

Puhelimeen asentuva FakeSpy pyytää erittäin laajoja käyttöoikeuksia.

– Käytännössä kaikkia oikeuksia, mitä nyt vain laitteessa voi olla, Kontinen sanoo.

Haittaohjelma on useamman vuoden vanha, ja sitä on kehitetty edelleen Kaukoidässä useamman vuoden ajan. Sen alkuperä on Vietnamin tai Korean suunnalla, ja sovelluksen alkuperäinen tarkoitus on ollut pankkitunnusten vakoileminen. Sittemmin sitä on kehitetty tietojen varastamisen suuntaan.

Puhelinnumero, joista huijausviesti tulee, on aito. Viesti tulee haittaohjelman saastuttamasta puhelimesta, joka levittää tartuntaa edelleen. Lähettäjä ei kuitenkaan ole välttämättä vastaajan tuttu, sillä haittaohjelma lataa komentopalvelimelta käsin maarajat ylittäviä numerolistoja, joihin tartuntaa levitetään. Samalla ladataan myös lähetettävien tekstiviestien sisällöt.

Tartutusprosessin käynnistävä tekstiviesti tulee aidosta puhelinnumerosta. Lähettäjänä toimii saastunut puhelin.­

Suomessa tiedetään satakunta tartuntatapausta tämän ja viime vuoden levityskampanjan ajoilta. Tartunnan saanut puhelin saattaa lähettää satoja, jopa tuhat tekstiviestiä. Teleoperaattorien on vaikea estää viestiliikennettä, koska se edellyttäisi viestien sisällön reaaliaikaista lukemista ja analysointia. Huomio kiinnittyy saastuneeseen laitteeseen yleensä vasta sen jo lähetettyä satoja viestejä ulkomaille.

Tekstiviestissä jaettava linkki vaihtelee, sillä rikollisten käyttämä linkinlyhennyspalvelu poistaa vääriin tarkoituksiin luotuja linkkejä, joten ne korvataan aika ajoin uusilla. Haittaohjelmaa tarjoava palveluntarjoaja on kuitenkin pysynyt ennallaan, eikä se vastaa poistopyyntöihin.

– Vaikuttaa siltä, että tekijät ovat löytäneet palveluntarjoajan, joka tietoisesti ei halua väärinkäytöksiin puuttua. Tämä on ongelmallinen tilanne meille. Meillä ei ole toimivaltaa mennä Suomen rajojen yli karmit kaulassa sanomaan, että verkkosivut kiinni, Kontinen sanoo.

Kyse on laajasta kansainvälisestä kampanjasta, sillä verkossa oleva huijaussivu pystyy tunnistamaan sivulle tulijan alkuperämaan ja tarjoilee tälle paikallisen huijaussivuston. Suomessa tämä on Postin nimissä.

Haittaohjelmasta pääsee eroon palauttamalla puhelin tehdasasetuksiinsa. Tämä poistaa kuitenkin kaikki laitteeseen asennetut sovellukset, mutta myös valokuvat ja tekstiviestit. Jos niitä ei ole varmuuskopioitu, ne katoavat samalla.

– Sovellus ei roottaa laitetta eli murra käyttöjärjestelmän suojauslogiikkaa, joten tehdasasetusten palauttaminen puhdistaa laitteen, Kontinen toteaa.

– Jos haittaohjelma on pesiytynyt laitteeseen, kannattaa vakavasti harkita, käyttääkö sitä verkossa. Se yrittää kuitenkin aggressiivisesti vastaanottaa tietoa komentopalvelimelta tai lähettää viestejä, Kontinen lisää.

Haittaohjelman saa poistettua palauttamalla puhelimen tehdasasetuksiin (alin vaihtoehto). Samalla häviävät kaikki laitteen varmuuskopioimattomat tiedot.­

Myös iPhonen käyttäjät ovat vaarassa. Huijaussivusto tunnistaa iOS-käyttäjän, ja sivu toimii silloin eri tavoin. Näiden suhteen aloitetaan iCloud-kalastelu, eli yritetään saada käyttäjä kertomaan Apple-tunnuksensa ja salasanansa.

Sekä Androidilla että iOS:llä sivuille saavuttaessa huijaussivu pyytää käyttäjää syöttämään puhelinnumeronsa ”paketin tarkastamiseksi”. Android-käyttäjälle tehdään taustalla tarkistus, onko tämän numero kytketty Applen iCloud-tiliin.

Jos asia on näin, tällaiselle Android-käyttäjälle näytetään ponnahdusilmoitus jossa pyydetään syöttämään tekstiviestitse tuleva koodi ”paketin saamiseksi”. Sama ilmoitus näytetään numeronsa ilmoittaneelle iPhone-käyttäjälle.

Sivu tunnistaa sekä käyttäjän laitteen että alkuperämaan, ja siitä näytetään asiaankuuluva versio.­

Tätä seuraa Applelta tekstiviestillä tuleva nelinumeroinen aito vahvistuskoodi, joka pyydetään syöttämään huijaussivulle. Koodin syöttämisen jälkeen puhelinnumero kytketään iCloud-tiliin laskutuskeinoksi.

– Tiedossamme on tapauksia, joissa tämän jälkeen puhelinlaskussa alkaa näkyä 50 euron kertaveloituksia satojen tai lähemmäs tuhannen euron edestä. Tässä puhutaan mobiilimaksun hyväksynnän väärinkäytöstä, Kontinen sanoo.

 Tiedossamme on tapauksia, joissa puhelinlaskussa alkaa näkyä 50 euron kertaveloituksia satojen tai lähemmäs tuhannen euron edestä.

Ei ole tiedossa, mitä ostoksia veloitusten takana on. Yksi vaihtoehto on, että niillä on ostettu iTunes-lahjakortteja edelleen myytäväksi. Tässä tilanteessa liittymän omistajan on oltava yhteydessä Appleen ja perua mobiililaskutuslupa. Apple antaa tähän tilanteeseen ohjeita verkkosivuillaan.

– Android-käyttäjälle tulee pahimmillaan haittaohjelma ja puhelinnumeron liittäminen mobiililaskutukseen. Tämä on todella kehno ilmiö, Kontinen toteaa.

Haittaohjelmaa levitetään koko ajan. Ei ole tiedossa, osaako se iskeä suomalaisten käyttämiin verkkopankkeihin tai onko ohjelmaan tulossa tämä toiminnallisuus.

– Mitä tekijät haluavat uhrista rahallisena hyötynä, on vielä epäselvää. Nyt sovellusta levitetään ja varastetaan yhteystietoja.

– Saamme tästä tasaisesti ilmoituksia ja niiden määrä kasvaa. Kun tapauksia kertyy, tekijät saavat lisää puhelinnumeroita, joihin lähettää viestejä. Näin tämä kerää volyymia, Kontinen sanoo.

Osion tuoreimmat

Luitko jo nämä?