sunnuntai 21. maaliskuuta 2021

Näin haittaohjelma tulee älypuhelimeen ja miten se estetään

Pari päivää sitten puhelimeeni kilahti tekstiviesti: "[OmaPosti] Sinulla on paketti, joka on allekirjoitettava, tarkista..." (ja is.gd-linkkilyhennyspalvelun taakse piilotettu osoite).

Haittaohjelma tyrkyttää itseään huijausviestillä.

Kyseessä on nykyään yleinen FakeCop, jonka toiminnasta voi lukea lisää esim. Ilta-Sanomien uutisesta 27.1.2021, ja se voi tuottaa uhrille ison puhelinlaskun (IS-juttu 15.2.2021). Viestissä mainittu linkki ei enää toimi, mutta sen takana oli aidolta Postin sivulta näyttävä huijaus, joka neuvoi päivittämään Chrome-selaimen.

"Päivitä Chrome turvallisuutesi vuoksi".

Samsungin selain ei ole Chrome, mutta harva peruskäyttäjä kiinnittää huomiota selaimen valmistajaan. Sen sijaan tämä on tärkeää: Älä koskaan päivitä sovellusta nettisivun linkillä! Mobiililaitteissa sovellukset päivittävät itsensä automaattisesti.

Älä lataa apk-tiedostoa!

Seuraavaksi huijaus pyytää lataamaan apk-tiedoston, joka on Androidin käyttämä ohjelmatiedostoformaatti. Älä tee niin! Itse tein latauksen ja lähetin apk-tiedoston Virustotal-palveluun, missä vain muutama virustorjuntaohjelma tunnisti sen. Ladattavia tiedostoja varioidaan, jotta virustorjunta ei tunnistaisi niitä, ja tekniikka näköjään toimii.

Vain muutama torjuntamoottori tunnisti viruksen tässä vaiheessa.

Siirsin tiedoston testipuhelimeen ja yritin käynnistää sen. Hyvä puoli on, että toisin kuin Windowsissa, mobiililaitteissa netistä ladattuja tai sähköpostilla saatuja tiedostoja ei voi suoraan käynnistää. Rikollisten täytyy onnistua huijaamaan uhri käynnistämään haittaohjelman itse. Tässä kohdassa jokainen pystyy suojaamaan puhelimensa ja itsensä -- älä siis koskaan lataa äläkä asenna epämääräisiä ohjelmia, pyydettiinpä sitä millä verukkeella tahansa.

Älä siis tee näin, kuten minä tein opetustarkoituksissa:

Haittaohjelman asentaminen.

Android varoittaa, ettei tästä lähteestä voi asentaa tuntemattomia sovelluksia.

"Puhelin ei voi asentaa tuntemattomia sovelluksia tästä lähteestä."

Se tarjoaa kuitenkin Asetukset-painikkeen, jolla rajoitus voidaan hetkeksi poistaa. Samalla se varoittaa vielä kerran vaaroista, mitä Play-kaupan ulkopuolelta asennettaviin ohjelmiin liittyy.

Salli tästä lähteestä -asetus.

Täppää siirtämällä asennus onnistuu ja haittaohjelma lisää itsensä muiden sovellusten joukkoon. FakeCop käyttää Google Chromen kuvaketta, joten sitä ei tunnista haitalliseksi. Tarkkasilmäinen voi ihmetellä, miksi asennettujen ohjelmien listassa näkyy peräkkäin kaksi Chromea, joista toinen on yli 50 megatavua (oikea selain) ja toinen vain 428 kilotavua (haittaohjelma).

Hetkinen... kaksi Chromea?

Toinen kummastusta herättävä kohta on vale-Chromen pyytämät oikeudet. Miksi selaimen pitäisi päästä tekstiviesteihin, yhteystietoihin ja saada oikeus soittaa puheluita?

Haitake haluaa oikeudet puhelimeen ja tekstiviesteihin. 

Testipuhelimessa ei ollut sim-korttia, jotta haittaohjelma ei pystyisi levittämään itseään. Nettiyhteys oli, joten FakeCop pystyi ottamaan yhteyttä komentopalvelimeen. Se ei vain pystynyt tekemään mitään. Puhelin toimi normaalisti eikä mistään ulkoisesta syystä voinut havaita, että haittaohjelma oli käynnissä.

Viruksen jälkeen asensin F-Secure SAFE-ohjelman. Jäi siis kokeilematta, olisiko aktiivinen torjuntaohjelma estänyt asennuksen. Luultavasti. Jälkikäteen skannauksessa haittaohjelma paljastui.

F-Secure Safe löytää haittaohjelman puhelimesta.

Haittaohjelmien yhä lisääntyessä virustorjuntaohjelma saattaa olla paikallaan, varsinkin jos puhelimeen ladataan pelejä ja sitä käytetään huolimattomasti. Ilman torjuntaohjelmaakin pärjää, kunhan ei lataa epämääräisiä ohjelmia eikä ikinä asenna mitään nettisivulta. Älä asenna puhelimeen yhtään ylimääräistä sovellusta, niin pysyt turvassa.

Kuten kuvista näkyy, saa syyttää vain itseään, mikäli ei lue eikä ymmärrä Androidin monia varoituksia Play-kaupan ohittavan oheislatauksen (ns. side loading) vaaroista.

BTW, Google on näköjään taas lisännyt uuden suojaustason Chrome-selaimeen. Se kannattaa kytkeä päälle. Haittapuolena tosin on, että ilmoituksen mukaan epäilyttävät url-osoitteet lähetetään Googlen tarkistettavaksi, mikä voi aiheuttaa tietosuojahuolia. 

Googlen "Parannettu suojaus" on osa selaussuojan asetuksia.

Chromen asetus löytyy kohdasta chrome://settings/security.

17 kommenttia:

Erkki kirjoitti...

Olipa mielenkiintoinen ja tärkeä juttu. Kiitos Petteri!

Terveisin
Erkki Havukainen

Nimetön kirjoitti...

Eikä hyvältä näytä tuokaan että löytö tulostetaan eri nimellä eri antivirus ohjelmilla vaikkei nimellä ole väliä niin vaikeuttaa kyllä löytämään mahdollisen tarvittaessa oiken poisto-ohjeen verkosta.

Teemu kirjoitti...


Tuo "salli asennus tästä lähteestä" on muuttunut Android 11 versiossa (vai oliko jo kympissä näin).

Aiemmin oli vain yksi asetus jolla sallittiin asennus mutta nykyään se on sovelluskohtainen. Toisin sanoen sovelluskohtaisesti voi määrittää saako ko. sovelluksen kautta ladatut tiedostot asentaa ja lupa on pysyvä ellei sitä erikseen kytke pois. Tästä taas aiheutuu se, että kerran annettu lupa jää helposti päälle jolloin jonkin turvallisen sovelluksen päivitys Play Kaupan ulkopuolelta jättää asennusoikeuden päälle.

Petteri Järvinen kirjoitti...

Asetus muuttuu jatkuvasti, kuva oli 10-versiosta. Vanhemmassa Androidissa oli "Salli kerran", minkä jälkeen se meni automaattisesti pois päältä. Tässä on ilmeisesti myös puhelimen valmistajasta riippuvia eroja.

Tom Kärnä kirjoitti...

Olipa minullekin tullut tuommoinen, mutta osasin päätellä, että ei kannata edetä asiassa.

Markus kirjoitti...

Olisihan voinut otsikon-vastaisesti (älypuhelimeen joka tarkoittaa kaikkia älypuhelimia?) kirjoittaa tietysti vielä faktan, että iphone käyttäjät eivät voi asentaa näitä ollenkaan, joten samankaltaista vaaraa ei ole. Kiitos sen umpisuljetun ympäristön, jota aasit haluavat vielä avattavaksi.

Samoin myös iphonen käyttäjän ei kannata maksaa virussuojasta. Mihinkään ja mitään.

Petteri Järvinen kirjoitti...

Sideloading onnistuu kyllä iPhonessakin, eikä ole vaikeaa:

"How easy is it to sideload iOS apps?
The process of accessing iOS sideloaded applications is easy -- really easy. Anyone can do it from their iPhone or iPad, and it doesn't require jailbreaking the device. All it requires is to download the app onto the device via a desktop or to load apps from the mobile browser."

Tämä kyseinen haitake toimii iPhoneissa niin, että puhelinnumeron saatuaan se kalastelee AppleID-tunnusta ja yrittää lisätä ylimääräisiä veloituksia tiliin.

Nimetön kirjoitti...

Miten tuon haittaohjelman saa puhelimesta pois jos se on ladattu?

Markus kirjoitti...

Tietysti iPhonessa on eri mekanismeilla toimivia haitakkeita, mutta edelleenkään ei yhtä ainoaa oikeasti ja aidosti toimivaa virussuoja-ohjelmaa. Sellaiseksi itseään väittäviä ohjelmia kyllä riittää. Jolloin rahat menevätkin ostamalla vale-tietoturvaohjelmia. F-securekin on hairahtunut tähän tarjoamalla safe-tuotetta vaikka joutuu iphonen rajoitteista johtuen käyttämään saman safari-selaimen moottoria kuin safari itsekin (itse asiassa kaikki iphonen/ipadin ja nykyisin M1 prosessoristen macbookien "selaimet" chrome/edge yms käyttävät safarin moottoria).

Tämä haitake kuitenkaan blogin ohjeen mukaisesti ei edelleenkään sellaisenaan toimi iphonessa ja siksi se olisi pitänyt mainita.

Apple ID:stä voisi tietysti mainita että siinä paras suoja on se kaksivaiheinen varmentaminen. Tosin sekään ei liity nimenomaan tähän blogiin.

Itse asiassa näistähän voisi joku kirjoittaa kokonaisen kirjan ;D Blogiin on hurjan hankala sulloa asioita... Näitähän riittää. Lisää tulee kuin sieniä sateella. Kirja vanhenee ennen kuin on ehtinyt tulla edes painosta ulos.

Kirjakin on kyllä vähän vanhanaikainen. Tieto muuttuu niin nopeasti. Ehkä joku voisi kirjoittaa keskitetyn nettiportaalin joka päivittyy jatkuvasti. Ulkomaillahan tällaisia onkin. Kaikki ajankohtaiset uhat on listattu yhteen paikkaan sekä vielä valtava määrä historiaakin. Tämä blogi teoriassa voisi olla sellainen jos ihmiset osaisivat täältä mitään hakea. Yleensä näissä vain se pikkasenkin vanhentunut tieto hukkuu "taka-alalle".

Petteri Järvinen kirjoitti...

Puhelimen palauttaminen tehdasasetuksiin on varmin keino. F-Secure tarjoaa sen poistamista, mutta en kokeillut miten hyvin se toimisi.

Nimetön kirjoitti...

> nykyisin M1 prosessoristen macbookien "selaimet" chrome/edge yms käyttävät safarin moottoria

M1 MacBookit toimivat aivan kuten Intel-pohjaiset Macitkin ja niissä saa root oikeudet ym. Myös x86_64 binäärien ajo on mahdollista M1 Macbookilla, tosin emuloinnin takia heikommalla suorituskyvyllä.

Nimetön kirjoitti...

Sain saman tekstiviestin muutama päivä sitten. Klikkasin viestissä ollutta linkkiä ihan vain nähdäkseni, kuinka paljon vaivaa huijarit ovat nähneet Postin nettisivujen kopioinnissa. Yleensä noilla huijaussivuilla mitkään linkin/valikot eivät toimi. Tällä kertaa Chrome näytti varoituksen, eikä päästänyt lainkaan tuolle huijaussivulle.

Nimetön kirjoitti...

Pitää paikkansa että Android puhelimeen tai tablettiin ei pidä asentaa yhtään mitään Play kaupan ulkopuolelta. Veikkauksen sovellus oli poikkeus koska Google ei aikaisemmin sallinut uhkapelisovelluksia Play-kaupassa. Tärkeää oli että Veikkauksen sovelluksen asennuksen jälkeen kytki päälle rastin että sovelluksia ei voi asentaa tuntemattomista lähteistä. Nyt Veikkauksen sovellus on palannut Play kauppaan.

Jos ei ole Google tiliä niin sitten sovellukset on pakko asentaa apk-tiedostoista mutta aika harvassa on käyttäjät, jotka jääräpäisesti eivät halua tehdä Google tunnusta.

Vaikka haittaohjelmista ei juurikaan tarvitse olla huolissaan mobiililaitteilla (puhelin/tabletti) niin eivät kaupalliset tietoturvaohjelmat hyödyttömiä ole. Esimerkiksi Nortonin ohjelmistolla anastetun puhelimen voi tietokoneella laittaa kadonnut tilaan jolloin puhelin lukittuu, lähettää sijaintitietoja ja kaikkein parasta että ottaa etukameralla valokuvia puhelimen käyttöä yrittävästä henkilöstä.

Nimetön kirjoitti...

Veikkauksen sovellus näkyy tosiaan palanneen Googlen sovelluskauppaan. Piti oikein käydä mielenkiinnosta tarkistamassa asia. Jäin miettimään syytä sääntöjen muuttumiseen?

Nimetön kirjoitti...

Mikä on Järvisen näkemys maksaako vaivaa ilmiantaa näitä huijauslinkkejä linkinlyhennyspalveluiden omien "report abuse" lomakkeiden kautta jos vastaanottaa tämmöisen viestin?

Teemu kirjoitti...

Nimetön sanoi...
...maksaako vaivaa ilmia..

Vaiva on olematon. Itse ilmoitan aina noista. Itse asiassa sitä varten voi tehdä vakiotekstin ja liittää vain sen osoitteen loppuun. Ehkä minuutin homma.

Petteri Järvinen kirjoitti...

Kannattaa ilmoittaa, jos vain viitsii. Tässäkin tapauksessa kohdesivu päätyi Chromen ja Firefoxin varoituslistalle, mutta siihen taisi mennä pari vuorokautta aikaa (ihan tarkasti en seurannut).