Kyberturvallisuuskeskus muistuttaa, että laitteet näyttävät usein toimivan normaalisti, mutta voivat tosiasiassa olla osa rikolliseen toimintaan käytettävää infrastruktuuria.

Haittaohjelmalla laite voidaan esimerkiksi liittää osaksi bottiverkkoa, jossa laitteet toimivat yhdessä automaattisesti omistajiensa tietämättä. Bottiverkkoon liitettyjä laitteita voidaan käyttää rikolliseen toimintaan, esimerkiksi palvelunestohyökkäyksiin. Lisäksi haittaohjelma voi kerätä käyttäjästään tietoa, näyttää vääriä mainoksia ja välittää muita haittaohjelmia.

MAINOS (ARTIKKELI JATKUU ALLA)

Haittaohjelman seurauksena laite voi esimerkiksi hidastua tai kuormittua huomaamatta ja verkkoyhteyttä voidaan käyttää luvatta, mikä voi näyttää siltä, että rikollinen toiminta tulisi kodin verkkoliittymästä ja osoitteesta. Lisäksi haittaohjelma altistaa henkilökohtaisten tietojen, kuten salasanojen, henkilötietojen ja muiden laitteelle syötettyjen tietojen päätymisen rikollisille ja myöhemmin niiden väärinkäytölle.

Kyberturvallisuuskeskuksen mukaan useat raportit ja tekniset analyysit osoittavat, että yksi keskeinen haittaohjelma valmiiksi asennettuna on ollut BadBox 2.0.

Kyseessä on haittaohjelma, jota on havaittu erityisesti edullisissa ja tuntemattomampien valmistajien Android-laitteissa. BadBox 2.0 voi olla valmiiksi esiasennettuna laitteeseen jo tuotantolinjalla, mutta sitä voidaan jakaa myös haitallisten sovellusten ja epäilyttävien verkkosivustojen kautta.

Havaintojen määrä on ollut maailmanlaajuisesti kasvussa. Esimerkiksi Viron tietojärjestelmäviranomainen RIA:n mukaan Virossa on havaittu jo yli 7 000 Badbox 2.0 -haittaohjelman sisältävää saastunutta laitetta.

MAINOS (ARTIKKELI JATKUU ALLA)

BadBox 2.0 mahdollistaa lisämoduulien etäkäynnistyksen, tiedonkeruun ja muiden haitallisten toimintojen suorittamisen ilman käyttäjän tietoista suostumusta. Kyberturvallisuuskeskus toteaa, että haittaohjelma on erityisen vaikeasti havaittavissa ja käytännössä mahdoton poistaa, koska haittaohjelman takaovi sijaitsee laiteohjelmistossa, jota ei voi kirjoittaa uudelleen ilman valmistajan erillisiä toimenpiteitä.

Kyberturvallisuuskeskuksen vinkit saastuneen laitteen tunnistamiseen

Saastuneen laitteen tunnistaminen voi olla haastavaa, sillä se voi käyttäjän silmin näyttää toimivan normaalisti. Seuraavat viitteet voivat kuitenkin auttaa haittaohjelman sisältävän laitteen tunnistamisessa:

  • Teleoperaattori kertoo, että internet-liittymästä on havaittu haittaohjelman aiheuttamaa liikennettä.
  • Laitteen alkuperä ja hinta.
    • Laitteella ei ole tunnettua ja luotettavaa valmistajaa.
    • Laite on tilattu halpaverkkokaupasta.
    • Laitteen hinta on huomattavasti edullisempi kuin tunnetumpien valmistajien laitteet.
    • Laitteelle ei ole saatavissa ohjelmistotukea tai päivityksiä ja laite voi sisältää vanhan Android-version.
  • Laite uudelleenohjaa väärille sivuille tai näyttää mainoksia epäilyttävästi.
    • Sovellukset tai verkkosivut ohjautuvat väärille sivuille (esim. väärennettyihin hakukone- tai pankkisivustoihin).
    • Mainoksia voi näkyä sovelluksissa tai käyttöliittymässä, jossa ei pitäisi olla mainoksia.
  • Laitteella on epätavalliset käyttöoikeudet.
    • Laite voi asentaa uusia sovelluksia itsestään tai ilman lupaa.
    • Laitteella voi olla esiasennettuja sovelluksia, joita käyttäjä ei voi poistaa.
  • Laitteelta havaitaan haitallista verkkoliikennettä.
    • Laite kommunikoi tuntemattomien IP-osoitteiden tai palvelinten kanssa, vaikka se ei ole aktiivisessa käytössä.
    • Verkkoliikenteessä voi näkyä nimipalvelukyselyjä tuntemattomiin osoitteisiin tai muiden maiden IP-osoitteisiin ilman selvää syytä.

Nämä viitteet eivät kuitenkaan automaattisesti tarkoita, että laite olisi saastunut. Kokeneemmat käyttäjät voivat myös hyödyntää Android Debug Bridgeä (ADB) laitteen taustalla käynnissä olevien prosessien ja asennettujen sovellusten tarkastamiseen. Lisäksi epäilyn varmistamiseksi voi seurata verkkoliikenteen lokeja ja tarkastaa mihin laite ottaa yhteyttä.