Haittaohjelma voi lymyillä laitteessa jo ostovaiheessa – laitteet on poistettava käytöstä, jos valmistaja ei tarjoa korjausta
Suomen kuluttajamarkkinoilla on havaittu valmiiksi haittaohjelmalla saastuneita Android-älylaitteita. Haittaohjelman asentamista varten laitteisiin on upotettu takaovi jo valmistusvaiheessa, eikä sitä voi poistaa. Jos laitteen valmistaja ei tarjoa virallista korjausta, laite on poistettava verkosta ja toimitettava sähkö- ja elektroniikkajätteen keräykseen. Traficomin Kyberturvallisuuskeskus kehottaa kansalaisia tarkistamaan käytössään olevat laitteet ja epäilysten herätessä harkitsemaan huolellisesti uusien hankintaa.
Kyberturvallisuuskeskus on havainnut Suomessa kesäkuun alusta lisääntynyttä haitallista verkkoliikennettä, joka liittyy valmiiksi laitteisiin asennettuihin Android-haittaohjelmiin. Ongelma koskee erityisesti Android-pohjaisia televisioita, TV-bokseja ja muita päätelaitteita, joita suomalaiset kuluttajat käyttävät kotiverkoissaan. Useissa tapauksissa kyseinen haittakoodi on ollut laitteessa jo valmistusvaiheessa ennen kuin käyttäjä on ottanut laitteen käyttöön.
Vakavimmillaan laitteet sisältävät haittaohjelman, jota ei voida poistaa, sillä se on upotettu laitteen laiteohjelmistoon kirjoitussuojatulle tasolle. Tällöin haitallinen koodi ei ole käyttäjän poistettavissa normaalin ohjelmistopäivityksen tai tehdasasetusten palauttamisen avulla.
Laitteet näyttävät usein toimivan normaalisti, mutta ovat tosiasiassa osa rikolliseen toimintaan käytettävää infrastruktuuria. Haittaohjelmalla laite voidaan liittää osaksi bottiverkkoa eli saastuneiden laitteiden verkostoon, jossa laitteet toimivat yhdessä automaattisesti omistajiensa tietämättä. Bottiverkkoon liitettyjä laitteita voidaan käyttää rikolliseen toimintaan, esimerkiksi palvelunestohyökkäyksiin. Lisäksi haittaohjelma voi kerätä käyttäjästään tietoa, näyttää vääriä mainoksia ja välittää muita haittaohjelmia.
Tällainen haittaohjelmatartunta voi aiheuttaa merkittäviä haittoja laitteen omistajalle. Laite voi esimerkiksi hidastua tai kuormittua huomaamatta ja verkkoyhteyttä voidaan käyttää luvatta, mikä voi näyttää siltä, että rikollinen toiminta tulisi kodin verkkoliittymästä ja osoitteesta. Lisäksi haittaohjelma altistaa henkilökohtaisten tietojen, kuten salasanojen, henkilötietojen ja muiden laitteelle syötettyjen tietojen päätymisen rikollisille ja myöhemmin niiden väärinkäytölle.
Saastunutta laitetta voidaan käyttää mm. palvelunestohyökkäyksiin ja käyttäjän tietojen varastamiseen.
BadBox 2.0 -haittaohjelma
Useat raportit ja tekniset analyysit osoittavat, että yksi keskeinen haittaohjelma näissä tapauksissa on ollut BadBox 2.0. Kyseessä on haittaohjelma, jota on havaittu erityisesti edullisissa ja tuntemattomampien valmistajien Android-laitteissa. BadBox 2.0 voi olla valmiiksi esiasennettuna laitteeseen jo tuotantolinjalla, mutta sitä voidaan jakaa myös haitallisten sovellusten ja epäilyttävien verkkosivustojen kautta.
Havaintojen määrä on ollut globaalisti kasvussa ja esimerkiksi Viron tietojärjestelmäviranomainen RIA kirjoitti blogissaan, että Virossa on havaittu yli 7000 Badbox 2.0 -haittaohjelman sisältävää saastunutta laitetta.
BadBox 2.0 mahdollistaa lisämoduulien etäkäynnistyksen, tiedonkeruun ja muiden haitallisten toimintojen suorittamisen ilman käyttäjän tietoista suostumusta. Se on erityisen vaikeasti havaittavissa ja käytännössä mahdoton poistaa, koska haittaohjelman takaovi sijaitsee laiteohjelmistossa, jota ei voi kirjoittaa uudelleen ilman valmistajan erillisiä toimenpiteitä.
Ongelma ei rajoitu vain yksittäisiin laitteisiin, vaan liittyy laajempaan ilmiöön, jossa tietyt valmistajat tai jakeluketjut eivät huolehdi laitteidensa tuotannon riittävästä turvallisuudesta ja laadunvalvonnasta.