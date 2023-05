Google Play -sovelluskaupassa tarjolla olleet sovellukset ovat liittäneet lataajansa huomaamatta maksullisiin tilauspalveluihin.

Sovellukset toimivat kuten pitääkin, mutta sen lisäksi niillä on toinen, epämiellyttävämpi tehtävä.

Google Playhyn pesiytyi troijalaissovelluksia, jotka alkavat veloittaa uhriltaan säännöllisiä kuukausimaksuja, varoittaa tietoturvayhtiö Kaspersky Lab Securelist-blogissaan.

Troijalainen on ohjelmisto, joka tekeytyy olevansa muihin tarkoitusperiin tehty sovellus. Lumetehtävänsä ohella se toimii uhrinsa laitteella vahinkoa aiheuttaen.

Tietoturvayhtiö käyttää löytämästään haittaohjelmasta nimeä Fleckpe. Vuodesta 2022 alkaen se on ujutettu osaksi ainakin 11 sovellusta, jotka olivat tarjolla Google Playssa.

Sovellukset olivat muun muassa kuvanmuokkausohjelmia sekä taustakuvapaketteja. Täysi lista The Hacker Newsin mukaan on alla. Suluissa oleva nimi on asennuspaketin nimi, joka ei näy käyttäjille.

Impressionism Pro Camera (com.impressionism.prozs.app)

Photo Effect Editor (com.picture.pictureframe)

Beauty Slimming Photo Editor (com.beauty.slimming.pro)

Beauty Camera Plus (com.beauty.camera.plus.photoeditor)

Microclip Video Editor (com.microclip.vodeoeditor)

GIF Camera Editor (com.gif.camera.editor)

Beauty Photo Camera (com.apps.camera.photos)

Photo Camera Editor (com.toolbox.photoeditor)

HD 4K Wallpaper (com.hd.h4ks.wallpaper)

Fingertip Graffiti (com.draw.graffiti)

Night Mode Camera Pro (com.urox.opixe.nightcamreapro)

Ota huomioon, että sovelluskaupassa voi olla samannimisiä asiallisia sovelluksia. Usein verkkorikolliset jäljittelevät nimeämiskäytännöillään aitoja sovelluksia. Haittasovelluksia on asennettu ainakin 620 000 kertaa.

”Myrkytettyjä” sovelluksia löytyi 11, mutta niitä voi olla enemmänkin ja niitä voi tulla lisää.

Asennuksen jälkeen petolliset sovellukset latasivat itse haittaohjelman puhelimeen. Tämä vaikeuttaa niiden kiinni jäämistä, sillä itse haittaohjelmakoodia ei ole tarjolla Google Playssa, vaan se ladataan puhelimeen myöhemmin.

Tekniikkaa on nähty aikaisemminkin, ja se on Kaspersky Labin mukaan yleistymässä.

Asennuttuaan uhrinsa puhelimeen haittaohjelma lähettää verkkorikollisille laitteen maa- ja teleoperaattoritiedot tämän paikantamiseksi.

Tämän jälkeen haittaohjelma avaa käyttäjälle näkymättömän verkkosivun, jolla se aloittaa uhrilleen maksullisen kuukausitilauksen. Jos tilauksen vahvistaminen vaatii vahvistuskoodia, haittaohjelma osaa poimia sen puhelimeen tulevasta ilmoituksesta.

Tilauksessa on kysymys operaattorilaskutuksesta. Rahat eivät siis lähde suoraan pakkitililtä, vaan menevät osaksi puhelinlaskua. Kyse on tilausansan kaltaisesta säännöllisestä laskutuksesta, jonka toivotaan jäävän uhrilta huomaamatta.

Troijalainen toimii luvatusti, mutta sen lisäksi sillä on piilotettu, rikollinen tarkoitus.

Sovellusta on ladattu ainakin Thaimaassa, Puolassa, Malesiassa, Singaporessa ja Indonesiassa. Tämä ei kuitenkaan takaa suojaa, sillä haittaohjelmat voi modifioida muokata toimimaan muuallakin.

Haitakkeet on nyt poistettu Google Playsta. Tietoturvayhtiö kuitenkin huomauttaa, että kaikkia haittasovelluksia ei ole välttämättä huomattu ja todellinen uhriluku voi olla suurempi. Sovelluksia on voitu tarjota myös muista sovelluskaupoista tai netistä vapaasti ladattavina.

On myös mahdollista, että haittaohjelmaa ujutetaan myöhemmin muihin sovelluksiin.

– Uhrit eivät usein huomaa sovellusten tekemiä laskutuksia välittömästi eivätkä tapaa, millä ne ovat alkaneet. Tämä tekee tilauspohjaisista troijalaisista houkuttelevia laittoman rahan lähteitä kyberrikollisten silmissä, Kaspersky Lab kirjoittaa.

Yhtiö suosittelee varokeinoiksi varovaisuutta myös Google Playsta ladattujen sovellusten kanssa, tarpeettomien sovelluksille annettavien lupien kanssa sekä virustutkan käyttöä myös puhelimissa.