Ikävä ilmiö leviää: Android-laitteissa voi olla valmiina haittaohjelma - saastuneita laitteita myyty jo yhdysvaltalaisissa suurissa kauppaketjuissakin

Julkaistu

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on nostanut viikkokatsauksessaan esille aiemminkin varoittelemansa ilmiön realisoitumisen uudessa mittakaavassa.

Kyberturvallisuuskeskuksen mukaan yhdysvaltalaisissa suurissa kauppaketjuissa on päätynyt myyntiin jo valmiiksi haittaohjelmalla saastuneita Android-älylaitteita. Ongelma koskee erityisesti Android-pohjaisia televisioita, TV-bokseja ja muita päätelaitteita, joita kuluttajat käyttävät kotiverkoissaan. Haittaohjelman asentamista varten laitteisiin on upotettu takaovi jo tuotantoketjussa, eikä sitä voi poistaa. Tämän tyyppisistä haittaohjelmista kuluneena vuonna merkittävin on ollut BadBox 2.0.

BadBox 2.0 edustaa uhkaa, joka alkaa jo ennen kuin käyttäjä edes käynnistää laitteen. Kyseessä on haittaohjelmakampanja, jossa haitallinen koodi on esiasennettu Android-laitteisiin, kuten Android TV-laatikoihin, tabletteihin tai älylaitteisiin, joita myydään eri verkkokaupoissa ja jakelukanavissa.

Nyt haittaohjelmaa sisältävät tuotteet ovat rantautuneet myös tunnettuihin yhdysvaltalaisiin jälleenmyyjiin, kuten Walmart- sekä Best Buy -kauppaketjuihin, kertoo Kyberturvallisuuskeskus.

Näissä ketjuissa on myynnissä erilaisia Android TV -laitteita, jotka eivät ole Googlen sertifioimia ja tarjoavat ”ilmaisia” suoratoistopalveluita. Nämä laitteet kuitenkin ohittavat virallisen Android TV-laitteen suojaustoimenpiteet ja mahdollistavat laitteen liittämisen osaksi bottiverkkoa.

Kyberturvallisuuskeskus varoitti ilmiöstä alun perin jo kesällä 2025. Tuolloin Kyberturvallisuuskeskus kertoi Suomessa havaitun kesäkuun alusta lisääntynyttä haitallista verkkoliikennettä, joka liittyy valmiiksi laitteisiin asennettuihin Android-haittaohjelmiin.

Kyberturvallisuuskeskus muistuttaa, että laitteet näyttävät usein toimivan normaalisti, mutta voivat tosiasiassa olla osa rikolliseen toimintaan käytettävää infrastruktuuria.

Erityisesti nimettömät, halvat tai heikosti tuetut tuotteet sisältävät piileviä riskejä, jotka ovat vaikeita itse havaita.

Vakavimmillaan laitteet sisältävät haittaohjelman, jota ei voida poistaa, sillä se on upotettu laitteen laiteohjelmistoon kirjoitussuojatulle tasolle. Tällöin haitallinen koodi ei ole käyttäjän poistettavissa normaalin ohjelmistopäivityksen tai tehdasasetusten palauttamisen avulla.

Kyberturvallisuuskeskus suosittelee kuluttajaa tutustumaan tarkasti tilattavaan laitteeseen ja suosimaan EU-markkinoilla olevia luotettavia liikkeitä ja laitevalmistajia. Teleoperaattorit aktiivisesti myös ottavat yhteyttä liittymän haltijaan, mikäli tämän verkkoliittymässä havaitaan haitallista liikennettä.

Jos laite kuulostaa liian hyvältä tai halvalta ollakseen totta, on näissä mahdollisesti riskejä esimerkiksi haittaohjelman muodossa.

Kyberturvallisuuskeskuksen vinkit saastuneen laitteen tunnistamiseen

Saastuneen laitteen tunnistaminen voi olla haastavaa, sillä se voi käyttäjän silmin näyttää toimivan normaalisti. Seuraavat viitteet voivat kuitenkin auttaa haittaohjelman sisältävän laitteen tunnistamisessa:

  • Teleoperaattori kertoo, että internet-liittymästä on havaittu haittaohjelman aiheuttamaa liikennettä.
  • Laitteen alkuperä ja hinta.
    • Laitteella ei ole tunnettua ja luotettavaa valmistajaa.
    • Laite on tilattu halpaverkkokaupasta.
    • Laitteen hinta on huomattavasti edullisempi kuin tunnetumpien valmistajien laitteet.
    • Laitteelle ei ole saatavissa ohjelmistotukea tai päivityksiä ja laite voi sisältää vanhan Android-version.
  • Laite uudelleenohjaa väärille sivuille tai näyttää mainoksia epäilyttävästi.
    • Sovellukset tai verkkosivut ohjautuvat väärille sivuille (esim. väärennettyihin hakukone- tai pankkisivustoihin).
    • Mainoksia voi näkyä sovelluksissa tai käyttöliittymässä, jossa ei pitäisi olla mainoksia.
  • Laitteella on epätavalliset käyttöoikeudet.
    • Laite voi asentaa uusia sovelluksia itsestään tai ilman lupaa.
    • Laitteella voi olla esiasennettuja sovelluksia, joita käyttäjä ei voi poistaa.
  • Laitteelta havaitaan haitallista verkkoliikennettä.
    • Laite kommunikoi tuntemattomien IP-osoitteiden tai palvelinten kanssa, vaikka se ei ole aktiivisessa käytössä.
    • Verkkoliikenteessä voi näkyä nimipalvelukyselyjä tuntemattomiin osoitteisiin tai muiden maiden IP-osoitteisiin ilman selvää syytä.

Kyberturvallisuuskeskuksen ohjeet saastunutta laitetta epäiltäessä

1 ) Poista laite välittömästi verkosta

Mikäli laite on langallisessa yhteydessä, irrota verkkokaapeli laitteesta. Jos laite on langattomassa verkkoyhteydessä, katkaise yhteys laitteen verkkoasetuksista.

2 ) Tarkista ohjelmistopäivitykset
Tarkista laitteen valmistajan tukisivustolta, onko valmistaja julkaissut ongelmaan virallisen korjauksen, esimerkiksi ohjelmistopäivityksen.

3) Mikäli valmistajalta ei ole saatavilla korjausta tai muuta virallista ohjeistusta, laite on toimitettava sähkö- ja elektroniikkaromun keräyspisteeseen

Koska haittaohjelmaa ei tässä tapauksessa pysty poistamaan, saastunut laite ei ole turvallinen käyttää, eikä sen jättäminen kotiverkkoon ole missään tapauksessa suositeltavaa.

4) Turvaa lisäksi tietosi

Ole yhteydessä pankkiisi, jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella.

Vaihda salasanat palveluihin, joita olet käyttänyt saastuneella laitteella. Haittaohjelma on voinut varastaa salasanasi, jos olet kirjautunut palveluihin haittaohjelman asentumisen jälkeen. Vaihda salasanat toisella laitteella.