Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Julkaisimme vakavan varoituksen Android-haittaohjelmien levityksestä tekstiviestitse

Tietoturva Nyt!

Julkaisimme vakavan varoituksen tekstiviestitse tapahtuvasta Android-haittaohjelmien levityksestä. Haittaohjelmien saastuttamilta laitteilta voidaan varastaa esimerkiksi salasanoja ja muita tietoja. Saastuneita laitteita käytetään myös lähettämään haittaohjelmaa eteenpäin.

""

Haittaohjelmat leviävät tekstiviestitse

Kyberturvallisuuskeskus on saanut paljon näytteitä viesteihin liittyen. Tällä hetkellä emme kaipaa lisää ilmoituksia, jos viesti on sama kuin "Sinulla on 1 uusi vastaajaviesti. Siirry osoitteeseen..". 

Suomenkielinen tekstiviesti saapuu puhelimeesi. Viesti sisältää linkin sovelluksen latausta tarjoavalle sivulle. Sivulla oleva latauslinkki tarjoaa Android-laitteille .apk-päätteistä asennuspakettia. Asennuspaketti ei ole virallinen sovellus, vaan se sisältää haittaohjelman. Asennuspaketti ei toimi iPhonella.

Haittaohjelmaa levittävä sivu voi myös ohjeistaa sallimaan tuntemattomien sovellusten asennuksen. Tämä mahdollistaa sovelluskauppojen ulkopuolisten sovellusten asentamisen Android-laitteelle. Tuntemattomien sovellusten asennusta ei tule sallia, sillä se mahdollistaa myös haitallisten sovellusten asentamisen laitteelle virallisen sovelluskaupan ohi.

 

Kyberturvallisuuskeskuksen Twitter-tilillä on varoitettu Android-haittaohjelmista tänä vuonna monesti. Haittaohjelmia levitetään tekstiviestitse ja viesteissä voidaan käyttää esimerkiksi pakettiteemaa.
Android-haittaohjelmat ovat olleet pinnalla ja näkyneet mm. pakettiteemaisina tekstiviesteinä tänä vuonna.

Haittaohjelma voi varastaa tietoja Android-laitteelta

Haittaohjelmien tavoitteena on esimerkiksi varastaa saastuneelta laitteelta tietoja ja lähettää laitteesta haittaohjelmaa edelleen levittäviä tekstiviestejä. Haittaohjelma voi varastaa esimerkiksi salasanoja ja muita laitteella olevia tietoja. Tämän vuoksi omien käyttäjätilien suojaaminen monivaiheisella tunnistautumisella ja salasanojen vaihtaminen haittaohjelman saastuttaneella laitteella käytetyistä palveluista (mm. sähköposti ja sosiaalinen media) on tärkeää, jotta haittaohjelman varastamat tiedot eivät päädy huijareiden käyttöön.

Kyberturvallisuuskeskus on aiemmin kertonut Android-haittaohjelmasta, jota on kutsuttu nimellä Fakecop/FakeSpy. Nyt pinnalla on FluBot-niminen haittaohjelma. Molemmat haittaohjelmat näyttävät samanlaisilta, vaikka niiden tekninen toteutus on erilainen. Ilmoittaessasi Kyberturvallisuuskeskukselle sinun ei tarvitse tietää kummasta haittaohjelmasta on kyse. Korjaavat toimenpiteet ovat samat molemmissa haittaohjelmatapauksissa. 

Levitysviesteissä voi olla mukana vastaanottajan nimi

Haittaohjelmaa levittävissä tekstiviesteissä on voinut olla mukana vastaanottajan nimi. Haittaohjelma voi varastaa saastuneesta laitteesta yhteystietoja, joita hyödynnetään haittaohjelman levittämisessä.

Tekstiviesteissä voi näkyä toisen henkilön tallentama yhteystietonimi kohteen numerosta. Tämän takia saapuvassa viestissä näkyvä nimi voi olla esimerkiksi puhelinnumeron edellinen haltija, vanha sukunimi, lempinimi tai muu kutsumanimi.

Osassa saamistamme ilmoituksista kerrotaan, että saapuneessa viestissä on käytetty Facebook-profiilista löytyvää nimeä. Tämä voi viitata siihen, että vanhoista tietovuodoista saatuja numeroita ja nimiä on voitu hyödyntää haittaohjelmaa levittävissä tekstiviesteissä.

Esimerkkejä haittaohjelmaa levittävän viestin verkkosivusta ja tekstiviestistä. Toisella sivulla käytetään DHL nimeä ja logoa, toisella väitetään valheellisesti että sinulle on saapunut vastaajaviesti.
Yksi Android-haittaohjelmaa levittävä sivu käyttää DHL:n logoa. Suomenkielinen tekstiviesti kertoo saapuvasta paketista, joka ohjaa haittaohjelmaa tarjoavalle sivulle. Haittaohjelmaa voidaan yrittää levittää myös saapuneesta vastaajaviestistä kertovalla viestillä.

Jos asensit Android-haittaohjelman laitteellesi

  • Palauta laite tehdasasetuksille. Varmuuskopiosta palauttamisessa pitää varmistaa, että laitteelle palautetaan varmuuskopio joka on luotu ennen haittaohjelman asentamista.
  • Jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella, ole yhteydessä pankkiisi. Tee rahallisista menetyksistä rikosilmoitus.
  • Vaihda salasanat palveluihin, joita olet käyttänyt laitteellasi. Haittaohjelma on voinut varastaa salasanasi, jos olet kirjautunut palveluhin haittaohjelman asentamisen jälkeen. 
  • Ota yhteyttä operaattoriisi, sillä liittymästäsi on voinut lähteä maksullisia viestejä. Tällä hetkellä liikkeellä olevat Android-haittaohjelmat levittävät itseään eteenpäin saastuneista laitteista lähetettävillä tekstiviesteillä.

Yleisiä kysymyksiä ja vastauksia

Mitä teen saapuneille viesteille?

Kyberturvallisuuskeskukselle kannattaa ilmoittaa tuoreista eli vuorokauden sisään tulleista viesteistä. Kyberturvallisuuskeskuksella on merkittävä määrä dataa vanhemmista havainnoista, joten niiden ilmoittamisesta ei ole lisähyötyä. Ilmoitukseen on hyvä laittaa kuvakaappaus viestistä ja päivämäärä, jolloin viesti on tullut (jos se ei kuvasta ilmene). Kuvassa tulisi näkyä lähettäjän numero, viestin sisältö ja mahdollinen linkkiteksti kokonaisuudessaan. Voit lisäksi kirjoittaa nämä viestille tekstinä käsittelyn helpottamiseksi, mutta tämä ei ole pakollista. Tämän jälkeen viestin voi poistaa, ja vanhemmat viestit voi poistaa heti.

Minulla on iOS-käyttöjärjestelmä. Tarvitseeko minun olla huolissani viesteistä?

Haittaohjelma on kohdennettu Android-laitteille, eli varsinainen haittaohjelma ei voi saastuttaa esimerkiksi iPhonea. Tekstiviestistä aukeavan linkin takaa voi kuitenkin aueta muita huijaussivuja, kuten tilausansoja. Epäilyttävien viestien linkkejä ei kannata lähtökohtaisesti avata millään laitteella.

Avasin linkin, mutta en asentanut haittaohjelmaa. Tarvitseeko minun palauttaa puhelin tehdasasetuksille?

Jos et avannut viestissä näkyvää linkkiä tai et asentanut haittaohjelmaa, on epätodennäköistä että puhelimesi olisi saastunut. Tässä tapauksessa sinun ei tarvitse palauttaa puhelinta tehdasasetuksille. Mikäli epäilet tartuntaa, voit tarkistaa matkapuhelinoperaattoriltasi onko liittymällä näkynyt epätavallista tekstiviestiliikennettä. Tähän petokseen liittyvä haittaohjelma käyttää uhrien puhelimia jatkolevittämiseen tekstiviestejä lähettäen.

Onko tietojani vuotanut?

Jos asensit haittaohjelman Android-laitteellesi, yhteystietosi ja muita laitteella olevia tietoja on voitu varastaa. Yhteystietosi ovat myös voineet vuotaa esimerkiksi jonkun toisen saastuneelta laitteelta tai aiemmista tietovuodoista.

Pitääkö asiasta tehdä ilmoitus poliisille tai pankkiin?

Pankkiin kannattaa ilmoittaa, jos epäilee verkkopankkitunnusten tai luottokorttitietojen joutuneen vääriin käsiin. Laitteelle asentunut haittaohjelma yrittää kerätä luottokorttitietoja saastuneelta laitteelta ja sitä käytettäessä. Myös mahdolliseen tilausansaan syötetyt korttitiedot on syytä ilmoittaa pankille.


Poliisille kannattaa ilmoittaa, jos oma laite on saastunut haittaohjelmalla, tai on syöttänyt tietojaan linkistä mahdollisesti auenneelle sivustolle. Pelkästä viestin vastaanottamisesta ei tarvitse ilmoittaa.

Huijausviestissä oli mukana erikoinen nimi, mitä tämä tarkoittaa?

Osassa viestejä on ollut mukana oletetun vastaanottajan nimi. Nimi on voitu kerätä vanhoista tietovuodoista, haittaohjelmalla saastuneiden laitteiden kontaktitiedoista tai vastaavasta. Tämän vuoksi viestissä oleva nimi voi olla lähes mitä tahansa, kuten esim. työpaikkaasi, harrastukseesi tai vastaavaan viittaava, tai vaikkapa puhelinnumerosi entisen haltijan nimi.

Lisätty tietoa haittaohjelmaa levittävästä tekstiviestistä, joissa voi näkyä vastaanottajan nimi ja mahdollisista lähteistä levitysviestissä näkyvälle nimelle.

Lisätty osio yleisimmistä kysymyksistä ja vastauksista haittaohjelmakampanjaan liittyen.