Vaarallinen Android-haittaohjelma tekeytyi Netflixiksi - pääsi myös Google Play -kauppaan ja levisi WhatsApp-viesteihin vastaten

Esiin noussut haittaohjelma herättää monia huolia.

Asennettu haittaohjelmasovellus pyrki luomaan luottamusta Netflixin logolla.
Asennettu haittaohjelmasovellus pyrki luomaan luottamusta Netflixin logolla.

Tietoturvayhtiö Check Pointin tutkijaryhmä on kertonut löytäneensä uuden myös Netflixin nimellä ratsastaneen Android-haittaohjelman, jota jaeltiin Google Play -kaupan kautta. Käyttäjiä ohjattiin lataamaan haittaohjelmasovellus sovelluskaupasta WhatsApp-viesteillä.

Check Point Researchin mukaan Google Playssa sovellus oli nimellä FlixOnline. Itse sovelluksessa luottamusta pyrittiin luomaan myös käyttämällä Netflixin logoa.

Haittaohjelma levitti itseään eteenpäin vastaamalla automaattisesti saapuviin WhatsApp-viesteihin lähettäen viestejä, joissa huijattiin tarjottavan kahden kuukauden ajaksi ilmaista Netflix-tilausta ympäri maailman. Syyksi poikkeukselliseen tarjoukseen viestit kertoivat olevan koronaviruksen aiheuttaman karanteenitilanteen. Eteenpäin lähetettävän viestin sovellus haki etäpalvelimelta, eli huijareilla säilyi myös valmius muuttaa viestiä.

Check Point Researchin mukaan haittaohjelmakampanja tartutti yli 500 uhria kahden kuukauden aikana perustuen sovelluksen latauksiin Google Playsta. Tietoturvayhtiö raportoi löydöksistään Googlelle, joka poisti tämän jälkeen sovelluksen Play-kaupasta ja ilmoitti asiasta myös WhatsAppille.

Haittaohjelmasovellus oli listattu FlixOnline-nimellä Google Playssa.
Haittaohjelmasovellus oli listattu FlixOnline-nimellä Google Playssa.

Näin haittaohjelma toimi

1. Uhri asentaa haittaohjelman Google Play -kaupasta

2. Haittaohjelma alkaa seurata ilmoituksia saapuvista WhatsApp-viesteistä

3. Haittaohjelma vastaa automaattisesti jokaiseen saapuvaan uuteen WhatsApp-viestiin huijarien luomalla viestillä (jossa mainostettiin edellä kuvatulla tavalla huijausta kahden kuukauden ilmaisesta Netflixistä)

4. Uusi uhri siirtyy lataamaan sovelluksen. Asentamisen jälkeen sovellus esittää Netflix-huijauksen ja kysyy tietoja, mukaan lukien maksukorttitietoja, jotka päätyvät syötettäessä huijareille.

5. Leviäminen jatkuu jälleen viesteillä uuden uhrin puhelimesta edellä kuvatulla tavalla

”Haittaohjelman tekniikka on verrattain uusi ja innovatiivinen. Tekniikka tässä on kaapata yhteys WhatsAppiin poimimalla ilmoitukset, mukaan lukien suorittaa etukäteen määriteltyjä toimia, kuten poistaa ilmoitus tai vastata siihen”, kommentoi Check Point Softwaren Mobile Intelligence -johtaja Aviran Hazum.

”Se, että haittaohjelma pystyi näin helposti naamioitumaan ja lopulta ohittamaan Play-kaupan suojaukset nostaa vakavia huolia. Vaikka pysäytimme yhden kampanjan haittaohjelmasta, haittaohjelmaperhe on todennäköisesti täällä pysyvästi ja haittaohjelma voi palata piilotettuna eri sovelluksen sisään.”

Haittaohjelmilta suojautumiseksi ei välttämättä riitä sovelluslatausten rajoittaminen edes Google Play -sovelluskauppaan. Kannattaa kuitenkin muistaa keskeinen sääntö: ei kannata uskoa kaikkea mitä verkossa tarjotaan, ei myöskään vaikka viesti näyttäisi tulevan kavereilta.

Sovelluslatausten rajaaminen vain Google Play -sovelluskauppaan on jo merkittävä askel parempaan tietoturvaan. Toinen on sovellusten lataaminen vain kauppaa selaamalla tai hakemalla, jolloin välttyy ohjauksesta verkossa tai viesteillä haittaohjelmasovelluksia lataamaan.

Lisäksi voi harkita, kokeeko omalta osalta tarvetta erillisen tietoturvasovelluksen asentamiselle puhelimen valmiiden suojausten, kuten Google Play Protectin. lisäksi.