Suomea on kuluneen viikon piinannut poikkeuksellisen laaja ja sitkeä haittaohjelma. Se leviää tekstiviestitse ja varastaa Android-käyttäjien laitteista sovellusten tietoja.
Flubotiksi nimetty haittaohjelma on varsinainen tietoverkkojen pandemia. Sen ensimmäiseksi uhriksi valikoitui Espanja noin vuosi sitten. Muita kohdemaita ovat olleet muiden muassa Hollanti, Tanska, Britannia, Saksa ja Puola. Suomikin sai siitä osansa jo kesällä.
Nyt Flubot on palannut ja häiritsee varsinkin suomalaisia. Haittaohjelmatekstiviestejä on levinnyt viikon aikana pelkästään Suomessa miljoonia, arvioi Liikenne- ja viestintäviraston alla toimiva Kybertuvallisuuskeskus.
Volyymi on kansainvälisestikin arvioiden huomattava.
”Olemme saaneet siitä viikossa noin 1 500 ilmoitusta. Tarkkaa tietoa uhrien määrästä ei ole, mutta arvioimme, että heitä on Suomessa noin tuhat”, sanoo tietoturva-asiantuntija Juho Jauhiainen Kyberturvallisuuskeskuksesta.
Miksi juuri Suomi? Teimmekö me jotain väärin?
Ei johdu meistä, sanoo Jauhiainen. Kyse on siitä, että haittaohjelman tekijät ovat ottaneet käyttöön uuden tavan salata tietoliikennettään. Havainto tehtiin Hollannissa marraskuun viimeisellä viikolla vain päiviä ennen kuin Flubot iski Suomeen.
Käytännössä uusi salaus tarkoittaa sitä, että haittaohjelma saa toimintakomentonsa salattujen nimipalvelukyselyjen kautta. Nimipalvelimet kääntävät meidän tuntemamme tekstimuotoiset verkko-osoitteet tietokoneille luettavaan muotoon IP-osoitteiksi ja löytävät tämän avulla oikean palvelimen, jotta esimerkiksi verkkosivut näkyvät oikein ja latautuvat oikeasta paikasta.
Tällaisen liikenteen estäminen on entistä vaikeampaa, sillä Flubot käyttää erittäin suuria palveluntarjoajia: Googlea, Alibabaa ja Cloudflarea. Jos suomalainen operaattori estäisi vaikkapa Googlelta tulevat nimipalvelukyselyt, estyisi samalla paljon tavallista ja tärkeää liikennettä. Niinpä haittaohjelmaliikenteeseen voivat puuttua ainoastaan edellä mainitut palveluntarjoajat.
Flubot lähettää käyttäjälle tekstiviestin, jossa on linkki. Viime viikolla tekstiviestissä kerrottiin, että käyttäjälle on uusi ääniviesti, ja linkistä pääsisi lataamaan Voicemail-nimisen ohjelman. Kuluvalla viikolla Flubot muutti taktiikkaa: tekstiviesteissä kerrotaan nyt saapuvilla olevasta kuriiriyhtiö DHL:n paketista. Todellisuudessa linkeistä latautuu haittaohjelma.
”Haittaohjelma varastaa laitteelta yhteystiedot ja lähettää ne komentopalvelimelle. Palvelin sekoittaa ja jakaa numeroita kuin korttipakkaa lähettäessään lisää tekstiviestejä ihmisille”, kertoo Jauhiainen.
Jauhiainen on purkanut haittaohjelman mahdollisimman pieniin osiin nähdäkseen, miten se toimii. Menetelmää kutsutaan takaisinmallinnukseksi. Näin Jauhiainen tietää, mihin puhelinnumeroiden maakoodeihin Flubot kohdistuu ja minkä sovellusten sisällön se yrittää puhelimesta varastaa.
Haittaohjelmassa on maakoodeja Suomen +358-koodin lisäksi nyt 23, suurin osa eurooppalaisia maita, kuten Britannia ja Portugal. Suomalaisten Android-laitteilta Flubot pyrkii tällä hetkellä varastamaan yhteystietojen lisäksi kolmen sovelluksen sisällöt.
”Nämä kolme ovat kryptovaluuttalompakot Binance ja Coinbase sekä sähköpostisovellus Gmail.”
Jo aiemmin on tiedetty, että Flubot tavoittelee rahaa erilaisten pankki- ja valuuttasovellusten kautta. Mutta sähköpostien varastaminen on uutta ja hälyttävää.
”Minun tiedossani ei ole, että Flubotin olisi aiemmin havaittu yrittäneen varastaa sähköposteja”, Jauhiainen sanoo.
Miksi rosvot haluaisivat ihmisten sähköpostit?
Ensinnäkin monet ovat liittäneet pääsyn moniin muihin sovelluksiin Gmail-tiliinsä. Ihmiset myös säilyttävät tietoa sähköposteissaan. Viitseliäs verkkorikollinen voi tiedon avulla löytää esimerkiksi mahdollisuuksia kiristää niitä, joita tieto koskee, tai löytää muita tapoja kehittää haittaohjelmansa leviämistä.
Viitseliäitä ja kekseliäitä Flubotin kehittäjät kiistatta ovat. Mutta keitä he ovat?
Tätä ei tiedetä. Juho Jauhiainen kertoo, että Flubot ohjaa liikennettään osoitteisiin, joiden verkkopäätteet ovat .ru, .su ja .cn. Ensimmäiset kaksi kuuluvat Venäjälle ja viimeinen Kiinalle. Näistä ei voi kuitenkaan päätellä paljoakaan, sillä verkko-osoitteet rekisteröidään palveluntarjoajien kautta.
Flubot käyttää palveluntarjoajia, jotka tunnetaan siitä, etteivät ne juuri tottele viranomaisten määräyksiä. Sen sijaan maapäätteiden ylläpitäjät ovat Jauhiaisen mukaan olleet yhteistyöhaluisia Flubotin torjunnassa.
”Attribuutioksi kutsuttu syyllisen osoittaminen ei kuulu Kyberturvallisuuskeskuksen tehtäviin, vaan muille viranomaisille”, Jauhiainen muistuttaa.
Flubotia ovat tutkineet useat muutkin, esimerkiksi Android-laitteiden turvallisuuteen erikoistunut tietoturvatutkija Ahmet Bilal Can. Tietoturvayhtiö Prodaftille työskentelevä Can onnistui talvella 2021 löytämään Flubotin käyttämän komentopalvelimen.
Sen etusivulla komeili Venäjän entisen pääministerin ja presidentin Dmitri Medvedevin kuva ja teksti: ”Tervetuloa, vakoilevat räkänokat. Toivomme teille hyvää fiilistä ja terveyttä”.
Nyt samaa komentopalvelimen etusivua ei valitettavasti enää löydy, Can kertoo viestissään Helsingin Sanomille. Myös hän painottaa, ettei attribuutiota pidä tehdä ilman vahvoja todisteita.
Kuvakaappaus Flubotin komentopalvelimen etusivusta Prodaft-yhtiön raportissa.
Flubotista, sen osasten nimistä tai ohjelmointitiedoista ei löydy viitteitä venäjän tai entisten Neuvostoliiton maiden kielistä. Tämä voi selittyä sillä, että torjuntaohjelmistot tunnistavat tiettyjä kieliä paremmin kuin toisia ja estävät liikennettä tehokkaammin, jos ne havaitsevat esimerkiksi venäjää. Flubotin tekijät eivät tietenkään halua jäädä kiinni.
Muita havaintoja Flubotin tekijöiden mahdollisesta alkuperästä Canilla ei komentopalvelimen etusivun ohella ole. Hän ei sano varmaksi, että tekijät olisivat venäläisiä. Mutta se on aivan mahdollista.
Klikkasitko Flubot-linkkiä? Toimi näin
■ Palauta puhelimen tehdasasetukset. Jos käytät varmuuskopioita, varmista, että palautat laitteelle sellaisen varmuuskopion, joka on luotu ennen kuin haittaohjelma asentui, ettei haittaohjelma palautuisi samalla.
■ Jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella, ota varmuuden vuoksi yhteys pankkiisi.
■ Jos havaitset rahaa kadonneen, tee rikosilmoitus.
■ Vaihda salasanat palveluihin, joita olet käyttänyt laitteellasi. Flubot on saattanut päästä varastamaan salasanoja, jos olet kirjautunut palveluihin haittaohjelman asentumisen jälkeen.
■ Ota käyttöön kaksivaiheinen tunnistus varsinkin Gmail-sähköpostissa, mutta mielellään myös muissa palveluissa, joita olet käyttänyt mahdollisesti saastuneella laitteella.
■ Ota yhteyttä teleoperaattoriisi, sillä liittymästäsi on saattanut lähteä maksullisia viestejä. Tällä hetkellä liikkeellä olevat Android-haittaohjelmat levittävät itseään eteenpäin saastuneista laitteista lähetettävillä tekstiviesteillä.
■ Iphonen käyttäjille ei asennu haittaohjelmaa, vaikka tekstiviestejä saapuisi. Iphoneen lähetetty linkki ohjaa usein sivulle, jossa voi olla tilausansa. Sivulle ei pidä syöttää mitään tietoja.
Lähde: Kyberturvallisuuskeskus
Lue lisää: Poliisi: Suomalaisten verkkopankkitunnuksia kalastellaan nyt ahkerasti kahden huijauksen avulla