Kun haittaohjelma on asennettu, se varastaa tietoja puhelimesta erittäin laajasti.

Tekstiviestitse leviävä haittaohjelmakampanja jatkuu. Viimevuotinen loppui operaattorien suodatukseen, mutta haitakkeen uusi versio on tähän mennessä osannut kiertää ne. Kuva: Colourbox

Suomalaisten puhelimiin haittaohjelmia syöttävä FluBot-haittaohjelmakampanja jatkuu aggressiivisena. Lähes viikon kestänyt hyökkäyssarja ei ole näyttänyt laantumisen merkkejä.

Huijausviestejä on useita erilaisia, mutta kaikissa on klikattava linkki. Useimpien teema on ilmoitus saapuneesta ääniviestistä.

Elisan tietoturvajohtaja Teemu Mäkelä kertoo nyt nähdyn haittaohjelman uuden version olevan aiempaa kehittyneempi. Se osaa muodostaa komentopalvelimelle salatun komentokanavan, minkä vuoksi operaattorien on vaikea havaita ja keskeyttää liikennettä.

Haittaohjelmaa tarjoillaan puhepostisovelluksena. Huijaussivun ruudulla näytetään uhrin oma puhelinnumero uskottavuuden lisäämiseksi. Kuva: Henrik Kärkkäinen / IS

Mäkelän mukaan teleoperaattori on yhteydessä asiakkaisiinsa, joiden laitteiden havaitaan levittävän haittaohjelmaa. Itse haittaohjelman lähettämiin tekstiviesteihin ei tällä hetkellä puututa, sillä operaattori ei tutki viestin sisältöjä.

- Kun näemme ilmoituksiin perustuen numeroita, joissa on saastunut laite, otamme asiakkaaseen yhteyttä. Pyrimme auttamaan siivoamaan laitteen, Mäkelä sanoo.

Elisa alkaa suodattaa tekstiviestejä pian. Mäkelä uskoo luvassa olevan hissa-hiiri-leikin, jossa rikolliset keksivät pian uuden tavan kiertää vastatoimia.

- Meillä on automatisoitu kyvykkyys alkaa estää haittaohjelman levittämiä tekstiviestejä heti, kun olemme saaneet varmuuden estojen tehokkuudesta ja toimivuudesta. Uskoisin tämän tapahtuvan lähipäivinä.

Tietoturvayhtiö Check Pointin mukaan parhaillaan on meneillään nimenomaisesti Suomeen suunnattu kampanja. Tätä edelsivät lokakuussa Puolaan ja Uuteen-Seelantiin suunnatut vastaavat.

Käyttäjän on sallittava haittaohjelman asennus ja sen jälkeen annettava sille laajat oikeudet. Käyttäjä harhautetaan tekemään tämä. Kuva: Henrik Kärkkäinen / IS

Haittaohjelmatartunta vaatii useamman askeleen: ensin on klikattava tekstiviestitse tullutta linkkiä ja päädyttävä tiedostolatausta tarjoavalle verkkosivulle. Tämän jälkeen sovellus on ladattava ja asennettava.

Käyttäjän on myös annettava haitakkeelle lupa käyttää puhelimen esteettömyystoimintoja. Tällä tavoin se pääsee säätelemään sitä, mitä laitteen näytöllä näkyy ja kaappaamaan käyttäjän laitteelle naputtelemat tiedot. Se pystyy esimerkiksi esittämään väärennetyn pankkinäkymän ja varastamaan kirjautumistiedot.

Puhelimeen asennuttuaan haittaohjelma varastaa puhelimessa olevat tekstiviestit ja yhteystiedot.

Haittaohjelmaa levittäviä viestejä on paljon erilaisia. Kuva: Kyberturvallisuuskeskus

Sovellus alkaa myös levittää itseään tekstiviestein. Elisan Mäkelän mukaan viestejä lähtee puhelimesta noin yksi sekunnissa.

Viestit lähetetään toisista puhelimista varastetuille yhteystiedoille, jotta viestit eivät päätyisi kavereille. Tämän jälkeen haittaohjelma laittaa viestin saajat levittäjän puhelimen estolistalle, jolloin mahdolliset varoitusviestit eivät tule läpi.

FluBot-haittaohjelma havaittiin ensimmäistä kertaa vuoden 2020 lopulla. Sovellus on nyt versiossa 4.9. Edellisessä aallossa sitä on levitetty lähettipalvelujen nimissä.

Palauta laite tehdasasetuksille. Varmuuskopiosta palauttamisessa pitää varmistaa, että laitteelle palautetaan varmuuskopio, joka on luotu ennen haittaohjelman asentamista.

Jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella, ole yhteydessä pankkiisi.

Tee rahallisista menetyksistä rikosilmoitus.

Vaihda salasanat palveluihin, joita olet käyttänyt laitteellasi. Haittaohjelma on voinut varastaa salasanasi, jos olet kirjautunut palveluihin haittaohjelman asentamisen jälkeen.

Ota yhteyttä teleoperaattoriisi, sillä liittymästäsi on voinut lähteä maksullisia viestejä. Tällä hetkellä liikkeellä olevat Android-haittaohjelmat levittävät itseään eteenpäin saastuneista laitteista lähetettävillä tekstiviesteillä.