maanantai 26. joulukuuta 2016

AMS Antivirus huijaus rahastaa kahdeksan euroa

Androidin aiheettomat virusvaroitukset ovat jo vanha juttu. Uusi kikka on periä niiden varjolla vielä rahaakin.

Blogin lukija oli ladannut puhelimeensa yhden monista Christmas Photo Frames -appseista. Ohjelma on ilmainen, mutta keskeyttää vähän väliä käytön koko ruudun täyttäviin mainoksiin.Yksi niistä on tällainen:

Virus detected scam.
Mitään virusta ei tietenkään ole, mutta käyttäjälle syntyy halu painaa Poista kaikki virukset. Samalla jää huomaamatta harmaalla taustalla näkyvä pieni teksti, jossa lukee "Hinta: €8,00 Asiakaspalvelu: +347226638191 | support@medianetpay.com Mobiilimaksu fortumo.com".

Painamisen jälkeen selain lataa sivun, jossa on html-koodiin upotettu sms-käsky. Puhelimesta riippuen (onko sms-tagi aiemmin kytketty johonkin sovellukseen vai ei) näytölle tulee lähetystä vaille valmis tekstiviesti:

Rahastusviesti valmiina lähetettäväksi.
Jos käyttäjä erehtyy painaman Lähetä, puhelin näyttää vielä yhden varoituksen:

Oletko varma että haluat lähettää?
Lähetä-painikkeen jälkeen tulee toinen tekstiviesti, jossa on lyhytlinkki http://bit.ly/AndDef, joka lataa 2,5 megatavun kokoisen android-defender.apk-paketin. Lyhytlinkkiä on ilmeisesti käytetty vain sivun oikean osoitteen piilottamiseen, sillä linkki on aina sama -- ja siksi 8 euron maksu on puhdasta rahastusta.

Toisin kuin PC-koneilla, netistä ladatun ohjelman asentaminen ei kuitenkaan onnistu:

Android estää asennuksen.
Vaara piilee kuitenkin ASETUKSET-painikkeen takana. Osaamaton käyttäjä saattaa kuvitella, että puhelimen asetukset ovat väärin, ja mennä asetusten kautta poistamaan ratkaisevan turvakeinon eli Tuntemattomat lähteet:

Älä muuta tätä asetusta!
Älä muuta Tuntemattomat lähteet -asetusta! Jos sen erehdyt tekemään, voit ladata puhelimeen vahingossa mitä tahansa haittaohjelmia.

En viitsinyt enää kokeilla, mitä AMS antivirus olisi asennettuna tehnyt. Luultavasti kyseessä on vain hyödytön tietoturvaohjelma, joka esittää lisää mainoksia tai pyytää vuosimaksua jo hukatun kahdeksan euron jatkoksi.

Mutta yhtä hyvin kyseessä voisi olla hyvinkin haitallinen ohjelma, joten tämä esimerkki toimii varoituksena laajemminkin älypuhelimen tietoturvallisuudesta.

Itsellä ei ole koneessa maksullista tietoturvaohjelmaa, joten olisi kiinnostavaa tietää, olisiko se jossain vaiheessa reagoinut tällä sivulla esitettyyn prosessiin ja estänyt uhria menettämästä kahdeksaa euroa. Epäilen, ettei. Google Playn tarkastus on hyödytön, koska huijaus tulee mainosverkoston kautta. Sen sijaan ladatun apk-ohjelman kohdalla se olisi saattanut älähtää ja pelastaa käyttäjän lisävahingoilta.

Tähän halpaan voi näköjään mennä myös iPhone-käyttäjä, sillä mainos ei erottele iOS- ja Android-käyttäjiä toisistaan. Silloin kyse on jo kaksinkertaisesta huijauksesta, sillä apk-tiedostoa ei voisi edes teoriassa asentaa iOS-puhelimeen.

Android-mainos näytetään myös iPhone-käyttäjälle
Luultavasti mainoksen jakelu on rajoitettu vain Android-käyttäjille, mutta web-sivu näyttää sisällön kaikille samalla tavalla eikä tutki selaimen versiota. Niinpä myös iPhone-käyttäjä voi päätyä lähettämään huomaamatta maksullisen tekstiviestin:

Ostit juuri 8 euron turhan Android-ohjelman.
iPhonen Safari-selain reagoi sms-tagiin jopa Android-selainta herkemmin, eikä näytä mitään varoituksia.

Vielä yksi havainto: F-Securen Freedome estää pääsyn mobitools-sivulle, josta AMS-ohjelma ladataan:

Freedome estää AMS-latauksen.
Varsinaista mainossivua (warning.mobile87.com) se ei kuitenkaan estä.

9 kommenttia:

Anonyymi kirjoitti...

Hei,

Tämän saa pois kun sulkee kaikki selaimen välilehdet ja tarkistaa että home sivu on oikein.

Jouni Laurila kirjoitti...

Ovela.

Hienoa os Freedom pysäyttää. Olen usein miettinyt paljonko siitä on apua lopulta.

Petteri Järvinen kirjoitti...

Olen miettinyt ihan samaa, koska estettyjen listaa ei suoranaisesti näe mistään ja esim. monet phishing-sivut menevät läpi (toisaalta joitakin vaarattomia pilasivuja on estetty). Tässä yksi sivu jolla esto toimii.

Sebastian Tankkeri kirjoitti...

Virustotal ei ainakaan löytänyt mitään tuosta apk:sta. Voihan siellä silti olla jotain mainoskikkareita jotka lataavat haittakoodia tai näyttävät uusia maksullisia mainoksia.

https://www.virustotal.com/fi/file/16dd9101ebd79e5fd44bcc869041699a375eb0979cc1e11b4919d408dce03e7a/analysis/1482854712/

Osmo kirjoitti...

Tässä siis operaattori on välillisesti tehnyt sopimuksen rikollisten kanssa laskutuksesta ja jos et maksa rikollisille, niin operaattori sulkee liittymän ja vie asian oikeuteen, joka pakottaa maksamaan ko. rikollisille. Normaalissa rikollisuudessa tämä ei tulisi kysymykseenkään, mutta Suomessa kännykkä on pyhä.

Näissä ainoa oikea tapa olisi tällaisen paljastuessa panna maksunvälitysfirma liiketoimintakieltoon. Tämä saisi heidät miettimään ketä ottaa asiakkaiksi. Rehellisen fiman ei tarvitse piilotella hintatietoja.

Sebastian Tankkeri kirjoitti...

Osmo sanoi...
Tässä siis operaattori on välillisesti tehnyt sopimuksen rikollisten kanssa laskutuksesta ja jos et maksa rikollisille, niin operaattori sulkee liittymän


Siis kenen liittymä suljetaan. Fortumo tarjoaa maksunvälityspalveluita maksua vastaan, tekeekö se heistä rikollisia tai osasyyllisiä? Onko suomen posti osasyyllinen, jos postin kautta toimitetaan jollekin herjauskirje tai jotain pahempaa?

Petteri Järvinen kirjoitti...

Muodollisesti asiakas antaa luvan laskutukseen, hinta on näkyvissä ja teksti suomeksi. Huijausta tämä on, mutta vastuukysymykset eivät ole ihan ongelmattomia.

Jouni Laurila kirjoitti...

Vastuukysymykset ovat ongelmallisia koska laki on ongelmallinen.

Tässä varmaan taas lobattu rahaa saavilta tahoilta poliittisia päättäjiä.

Niinpä päättäjät kumartavat rahastajia ja pyllistävät äänestäjiä kohti.
Kuinka ollakaan lobbauksesta ei ole rekisteriä koska siitä päättää ne jotka saavat lobbauksesta etua.

Suomessahan ei ole korruptiota julistetaan. Uskoo ken tahtoo

Osmo kirjoitti...

Tässä pontti on, että laskut valitetaan puhelinlaskussa ja operaattori katkaisee liittymän, jos sitä ei maksa. Posti ei lopeta postin kantamista, jos jätät maksun maksamatta. Posti ei myöskään peri sitä laskua vaan se on ihan huijarin tehtävä itse. Posti on todellinen välittäjä, joka ei sotkeudu asiaan.

Kun tällaisia velotrtaam puhelinlaskussa hämärtyvät vastuuasiat. Operaattori toki haluaa rahat, mutta toisaalta vastuuasiassa haluaa pudottautua välistä pois. Puhelinlaskuun liittyy varsin tiukka vastuu. On väärin antaa huijareiden hyötyä siitä. Toinen vastaava asia on esimerkiksi pizzojen osto kännykkälaskuun. Tässä myyjän tulisi kantaa vastuu, jos kännykkä on vaikka varastettu, koska hän saa hyödyn ko. maksutavasta. Nyt riski on liittymän omistajalla, joka asiasta ei välttämättä tiedä mitään.

Website Security Test