Tällainen on suomalaisten Android-puhelimia riivaava Flubot-haittaohjelma: Näin se leviää ja varastaa tietosi – ja näin pääset siitä eroon - Tietoturva - Ilta-Sanomat

Tällainen on suomalaisten puhelimia riivaava haittaohjelma: Näin se leviää ja varastaa tietosi – ja näin pääset siitä eroon

Flubot-haittaohjelma leviää aggressiivisesti. Kun saastunut puhelin lähettää tekstiviestin, se samalla blokkaa uhrin puhelinnumeron varoittamisen estämiseksi.

Tekstiviestillä tuleva linkki johtaa verkkosivulle, joka tarjoaa tiedostoa ladattavaksi Android-puhelimeen. Kysymykseen on vastattava kieltävästi.

8.6. 7:02

Viime viikon torstaina alkanut suomalaisten puhelimiin kohdistunut haittaohjelmien levityskampanja on erilainen kuin aiemmin Suomessa nähdyt ja luonteeltaan poikkeuksellisen aggressiivinen. DHL:n nimissä levitettävät tekstiviestit sisältävät linkin verkkosivulle, joka pyrkii istuttamaan Android-puhelimeen haittaohjelman.

Lue lisää: Viranomaiselta varoitus: Vaarallinen haitta­ohjelma leviää puhelimiin ja varastaa pankki­tietoja – varo tällaista viestiä

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontisen mukaan kyseessä on Flubot-nimellä tunnettu haittaohjelma, joka poikkeaa aiemmin nähdystä FakeSpy/FakeCop-ohjelmasta. Jälkimmäistä on levittänyt Kaukoidästä peräisin oleva rikollisjengi, mutta uuden kampanjan takana olevaa tahoa ei tiedetä.

Lue lisää: Tällainen on suomalaisten puhelimiin parhaillaan levitettävä haittaohjelma – ”Voidaan puhua epidemiasta”

On vahvoja viitteitä siitä, että haittaohjelman tähtäimessä ovat suomalaiset käyttäjät. Tuoreimmassa versiossa puhelinnumeroiden Suomen maakoodi on otettu mielenkiinnon kohteeksi.

On viitteitä siitä, että haittaohjelma osaa vakoilla ja varastaa käyttäjätietoja suomalaisten usein käyttämistä sovelluksista. Vaarassa ovat ainakin suurten pankkien mobiilisovellukset.

– Tämä on loiva indikaattori siitä, että jos kotimaiset puhelinnumerot kiinnostavat tekijöitä, myös kotimaiset sovellukset kiinnostavat heitä, Kontinen sanoo.

– Todennäköisesti pankkitunnukset ovat tulilinjalla, Kontinen sanoo.

Todennäköisesti pankkitunnukset ovat tulilinjalla.

Kyberturvallisuuskeskus pyytää suomalaisilta tietoja viime torstaina ja sen jälkeen saamistaan DHL:n nimissä tulleista tekstiviesteistä. Ilmoitukset voi tehdä Traficomin verkkolomakkeella.

Mukaan tulisi laittaa kuvakaappaus, jossa näkyy viestin alkuperän puhelinnumero ja viesti täydellisenä. Jos viestissä oleva oma nimi on poikkeuksellisessa muodossa, kannattaa mukaan laittaa selostus siitä, missä sitä on kyseisessä muodossa käytetty.

Viranomainen pyytää erityisesti yhteydenottoja sellaisilta kansalaisilta, joiden puhelimeen haittaohjelma on ehtinyt asentua ja joiden pankkitunnuksia tai muita käyttäjätietoja se on ehtinyt varastaa.

Viranomainen on saanut toistaiseksi noin 580 ilmoitusta, mikä lienee murto-osa todellisista tapauksista. Vastaava kampanja on meneillään monessa Euroopan maassa.

– Ei ole yhden miehen operaatio tämä, Kontinen muotoilee.

Nyt käynnissä olevan haittaohjelmakampanjan käyttämät verkkosivut on puettu DHL:n ulkoasuun. Tilanne voi muuttua.

Asennuttuaan puhelimeen haittaohjelma varastaa puhelimen osoitekirjan ja lataa sen rikollisten palvelimelle. Sen jälkeen komentopalvelin syöttää puhelimeen listan numeroista, joihin sen on lähetettävä levitysviestejä.

Saastunut puhelin ei lähetä tekstiviestejä oman osoitekirjan ihmisille, vaan muista puhelimista varastettuihin puhelinnumeroihin. Tämän jälkeen se asettaa kohdenumerot estolistalle. Tämä estää viestin vastaanottajaa varoittamasta saastuneen puhelimen omistajaa soittamalla tai tekstiviestillä.

Uhrit eivät voi varoittaa levittäjää asiasta.

– Näin uhrit eivät voi varoittaa levittäjää asiasta, Kontinen sanoo.

Viikonloppuna alettiin nähdä viestejä, joissa vastaanottajaa puhutellaan tämän oikealla nimellä. Nämä perustuvat varastettuihin yhteystietoihin, sillä mukana on Matti Työ -tyyppisiä nimiä.

Saastunut puhelin saattaa lähettää edelleen satoja tai jopa tuhansia tekstiviestejä. Kontisen mukaan teleoperaattoreilla on keinoja hillitä jo alkanutta viestitulvaa, mutta ei ennaltaehkäistä niitä. Suomessa suodatettujen viestien kokonaismäärästä ei ole vielä tietoa, mutta Norjassa yksin Telenor on kertonut suodattaneensa kymmeniä tuhansia viestejä.

Alkuperäinen levityksessä käytettävä puhelinnumerolista lienee peräisin jostakin Facebook-tietovuodosta. Nämä tiedot eivät ole aivan tuoreita, sillä niissä esiintyy ihmisten vanhoja nimiä.

Viesteissä oleva verkkosivu vaihtelee. Viranomaisilla on tiedossa ainakin 180 sivua, jotka levittävät haittaohjelmaa.

Haittaohjelma päivittää itseään. Kontisen mukaan Flubotista syötetään tällä hetkellä puhelimiin versiota 4.5. Haitake lataa myös puhelimeen tuoreita listoja verkkosivuista, joiden kautta haittaohjelmaa levitetään.

Verkko-osoitteet levitysviesteihin poimitaan koko ajan muuttuvalta listalta, jossa oli viikonloppuna ainakin 180 eri verkkosivustoa. Haittaohjelmaa levitetään murretuilta, Wordpress-ohjelmistolla toteutetuilta verkkosivuilta.

Haittaohjelma tarttuu verkkosivulta, jos käyttäjä ensin hyväksyy sivulta tarjottavan apk-päätteisen latauspaketin ja sen jälkeen hyväksyy vielä erikseen sen asentamisen.

Toistaiseksi kaikki Flubot-haittaohjelmaa jakelevat verkkosivut ovat olleet DHL:n nimissä.

Kontinen kuvaa asetelmaa kilpajuoksuksi murtautujien kanssa, jossa viranomainen tekee poistopyyntöjä verkkosivuista ja rikolliset murtavat uusia sivuja haittaohjelman levitystä varten.

Flubotin saa varmimmin poistettua palauttamalla puhelimen tehdasasetuksiin. Useimmissa Android-puhelimissa asetuksista löytyy palauta-niminen valikko, jonka takana on alkuperäisten tietojen palautus tai vastaavalla nimellä varustettu valikko. Valinta tyhjentää puhelimen kokonaan, mukaan luettuna varmuuskopioimattomat valokuvat ja pikaviestit.

– Jos puhelimesi on saanut tartunnan, sammuta se heti tai laita se vähintään lentotilaan. Sitten hengitetään hetki syvään, Kontinen sanoo.

Tietoja voi kopioida talteen puhelimesta kytkemällä se kaapelilla tietokoneeseen, sillä Android-haittaohjelma ei toimi Windows- tai Mac-tietokoneessa. Wifi tulee kuitenkin kytkeä puhelimesta pois, ja kopiointi tulee tehdä uudelleenkäynnistyksen jälkeen siten, että sim-kortin pin-kysely ohitetaan tai sim-kortti otetaan puhelimesta pois. Näin haittaohjelma ei pääse levittämään itseään edelleen.

Kokeneet käyttäjät voivat poistaa haittaohjelman käsin Androidin vikasietotilasta käsin. Tämä vaatii huomattavaa tietotaitoa, mutta saattaa olla perusteltua esimerkiksi yritysympäristöissä.

Lue lisää: Kommentti: ”Huijausviesti” olikin aito ilmoitus ajoneuvoverosta – nyt tärkeä raja ylittyi

Artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?