Poista laite välittömästi verkosta
Mikäli laite on langallisessa yhteydessä, irrota verkkokaapeli laitteesta. Jos laite on langattomassa verkkoyhteydessä, katkaise yhteys laitteen verkkoasetuksista.
Tietoturva Nyt!
Julkaistu
Suomen kuluttajamarkkinoilla on havaittu valmiiksi haittaohjelmalla saastuneita Android-älylaitteita. Haittaohjelman asentamista varten laitteisiin on upotettu takaovi jo valmistusvaiheessa, eikä sitä voi poistaa. Jos laitteen valmistaja ei tarjoa virallista korjausta, laite on poistettava verkosta ja toimitettava sähkö- ja elektroniikkajätteen keräykseen. Traficomin Kyberturvallisuuskeskus kehottaa kansalaisia tarkistamaan käytössään olevat laitteet ja epäilysten herätessä harkitsemaan huolellisesti uusien hankintaa.
Kyberturvallisuuskeskus on havainnut Suomessa kesäkuun alusta lisääntynyttä haitallista verkkoliikennettä, joka liittyy valmiiksi laitteisiin asennettuihin Android-haittaohjelmiin. Ongelma koskee erityisesti Android-pohjaisia televisioita, TV-bokseja ja muita päätelaitteita, joita suomalaiset kuluttajat käyttävät kotiverkoissaan. Useissa tapauksissa kyseinen haittakoodi on ollut laitteessa jo valmistusvaiheessa ennen kuin käyttäjä on ottanut laitteen käyttöön.
Vakavimmillaan laitteet sisältävät haittaohjelman, jota ei voida poistaa, sillä se on upotettu laitteen laiteohjelmistoon kirjoitussuojatulle tasolle. Tällöin haitallinen koodi ei ole käyttäjän poistettavissa normaalin ohjelmistopäivityksen tai tehdasasetusten palauttamisen avulla.
Laitteet näyttävät usein toimivan normaalisti, mutta ovat tosiasiassa osa rikolliseen toimintaan käytettävää infrastruktuuria. Haittaohjelmalla laite voidaan liittää osaksi bottiverkkoa eli saastuneiden laitteiden verkostoon, jossa laitteet toimivat yhdessä automaattisesti omistajiensa tietämättä. Bottiverkkoon liitettyjä laitteita voidaan käyttää rikolliseen toimintaan, esimerkiksi palvelunestohyökkäyksiin. Lisäksi haittaohjelma voi kerätä käyttäjästään tietoa, näyttää vääriä mainoksia ja välittää muita haittaohjelmia.
Tällainen haittaohjelmatartunta voi aiheuttaa merkittäviä haittoja laitteen omistajalle. Laite voi esimerkiksi hidastua tai kuormittua huomaamatta ja verkkoyhteyttä voidaan käyttää luvatta, mikä voi näyttää siltä, että rikollinen toiminta tulisi kodin verkkoliittymästä ja osoitteesta. Lisäksi haittaohjelma altistaa henkilökohtaisten tietojen, kuten salasanojen, henkilötietojen ja muiden laitteelle syötettyjen tietojen päätymisen rikollisille ja myöhemmin niiden väärinkäytölle.
BadBox 2.0 -haittaohjelma
Useat raportit ja tekniset analyysit osoittavat, että yksi keskeinen haittaohjelma näissä tapauksissa on ollut BadBox 2.0. Kyseessä on haittaohjelma, jota on havaittu erityisesti edullisissa ja tuntemattomampien valmistajien Android-laitteissa. BadBox 2.0 voi olla valmiiksi esiasennettuna laitteeseen jo tuotantolinjalla, mutta sitä voidaan jakaa myös haitallisten sovellusten ja epäilyttävien verkkosivustojen kautta.
Havaintojen määrä on ollut globaalisti kasvussa ja esimerkiksi Viron tietojärjestelmäviranomainen RIA kirjoitti blogissaan (Ulkoinen linkki), että Virossa on havaittu yli 7000 Badbox 2.0 -haittaohjelman sisältävää saastunutta laitetta.
BadBox 2.0 mahdollistaa lisämoduulien etäkäynnistyksen, tiedonkeruun ja muiden haitallisten toimintojen suorittamisen ilman käyttäjän tietoista suostumusta. Se on erityisen vaikeasti havaittavissa ja käytännössä mahdoton poistaa, koska haittaohjelman takaovi sijaitsee laiteohjelmistossa, jota ei voi kirjoittaa uudelleen ilman valmistajan erillisiä toimenpiteitä.
Ongelma ei rajoitu vain yksittäisiin laitteisiin, vaan liittyy laajempaan ilmiöön, jossa tietyt valmistajat tai jakeluketjut eivät huolehdi laitteidensa tuotannon riittävästä turvallisuudesta ja laadunvalvonnasta.
Miten tunnistaa saastunut laite
Saastuneen laitteen tunnistaminen voi olla haastavaa, sillä se voi käyttäjän silmin näyttää toimivan normaalisti. Seuraavat viitteet voivat kuitenkin auttaa haittaohjelman sisältävän laitteen tunnistamisessa:
- Teleoperaattori kertoo, että internet-liittymästä on havaittu haittaohjelman aiheuttamaa liikennettä.
- Laitteen alkuperä ja hinta.
- Laitteella ei ole tunnettua ja luotettavaa valmistajaa.
- Laite on tilattu halpaverkkokaupasta.
- Laitteen hinta on huomattavasti edullisempi kuin tunnetumpien valmistajien laitteet.
- Laitteelle ei ole saatavissa ohjelmistotukea tai päivityksiä ja laite voi sisältää vanhan Android-version.
- Laite uudelleenohjaa väärille sivuille tai näyttää mainoksia epäilyttävästi.
- Sovellukset tai verkkosivut ohjautuvat väärille sivuille (esim. väärennettyihin hakukone- tai pankkisivustoihin).
- Mainoksia voi näkyä sovelluksissa tai käyttöliittymässä, jossa ei pitäisi olla mainoksia.
- Laitteella on epätavalliset käyttöoikeudet.
- Laite voi asentaa uusia sovelluksia itsestään tai ilman lupaa.
- Laitteella voi olla esiasennettuja sovelluksia, joita käyttäjä ei voi poistaa.
- Laitteelta havaitaan haitallista verkkoliikennettä.
- Laite kommunikoi tuntemattomien IP-osoitteiden tai palvelinten kanssa, vaikka se ei ole aktiivisessa käytössä.
- Verkkoliikenteessä voi näkyä nimipalvelukyselyjä tuntemattomiin osoitteisiin tai muiden maiden IP-osoitteisiin ilman selvää syytä.
Nämä viitteet eivät kuitenkaan automaattisesti tarkoita, että laite olisi saastunut. Kokeneemmat käyttäjät voivat myös hyödyntää Android Debug Bridgeä (ADB) laitteen taustalla käynnissä olevien prosessien ja asennettujen sovellusten tarkastamiseen. Lisäksi epäilyn varmistamiseksi voi seurata verkkoliikenteen lokeja ja tarkastaa mihin laite ottaa yhteyttä.
Toimi näin, jos epäilet laitteesi olevan saastunut
Tarkista ohjelmistopäivitykset
Tarkista laitteen valmistajan tukisivustolta, onko valmistaja julkaissut ongelmaan virallisen korjauksen, esimerkiksi ohjelmistopäivityksen.
Mikäli valmistajalta ei ole saatavilla korjausta tai muuta virallista ohjeistusta, laite on toimitettava sähkö- ja elektroniikkaromun keräyspisteeseen
Koska haittaohjelmaa ei tässä tapauksessa pysty poistamaan, saastunut laite ei ole turvallinen käyttää, eikä sen jättäminen kotiverkkoon ole missään tapauksessa suositeltavaa.
Turvaa lisäksi tietosi
Ole yhteydessä pankkiisi, jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella.
Vaihda salasanat palveluihin, joita olet käyttänyt saastuneella laitteella. Haittaohjelma on voinut varastaa salasanasi, jos olet kirjautunut palveluihin haittaohjelman asentumisen jälkeen. Vaihda salasanat toisella laitteella.
Vaikka laite olisi ostohetkellä puhdas, haittaohjelmia voidaan levittää myös jälkikäteen esimerkiksi epävirallisista sovelluskaupoista ladattujen sovellusten tai haitallisten verkkosivujen kautta. Tällaisia ovat erityisesti sivustot, joissa jaetaan muun muassa luvattomia elokuvia ja sarjoja. On tärkeää ymmärtää, että esimerkiksi epävirallisilta sivustoilta ladattujen “videosoittimien” tai epävirallisten sovellusten mukana voi asentua myös haittaohjelmia, kuten BadBoxin eri muunnelmia.
Kyberturvallisuuskeskus kehottaa kuluttajia harkitsemaan tarkoin, millaisia laitteita kotiin hankitaan. Erityisesti nimettömät, halvat tai heikosti tuetut tuotteet sisältävät piileviä riskejä, jotka ovat vaikeita itse havaita. Verkkolaitteissa turvallisuus, ohjelmistotuki ja päivitysmahdollisuudet ovat ratkaisevia ominaisuuksia – ei pelkästään hinta.