Artikkelit

Käyttäjän tulee muistaa, ettei mitään sovelluksia pidä asentaa pelkän ponnahdusikkunan kehotuksesta.

Android-käyttäjiä varoitetaan kolmesta uudesta haittaohjelmasta, jotka hyödyntävät puhelimien käyttöoikeuksia ja pyrkivät varastamaan rahaa, kryptovaluuttaa ja henkilökohtaisia tietoja. Kyberturvayhtiöt Intel 471, CYFIRMA ja Zimperium ovat tunnistaneet FvncBot- ja SeedSnatcher-haittaohjelmat sekä päivitetyn version ClayRatista.

FvncBot esiintyy mBankin turvallisuussovelluksena ja kohdistuu toistaiseksi Puolassa toimiviin mobiilipankin käyttäjiin. Tutkijoiden mukaan se ei pohjaudu aiemmin vuotaneisiin troijalaisiin, vaan on rakennettu kokonaan alusta. Haittaohjelma hyödyntää Androidin käyttöapupalveluja mahdollistamalla muun muassa näppäinpainallusten tallennuksen, näyttösisällön suoratoiston, web-injektiohyökkäykset ja piilotetun etähallinnan. Sen mukana toimii Golden Crypt -ryhmän cryptauspalvelu apk0day, joka asentaa haittakoodin käyttäjän huomaamatta.

Vaikka kohteena on nyt Puola, asiantuntijat pitävät todennäköisenä, että haittaohjelma leviää laajemmin.

Kun sovellus avataan, käyttäjää kehotetaan asentamaan näennäinen “Google Play -komponentti turvallisuuden varmistamiseksi”. Todellisuudessa tämä aktivoi haittaohjelman ja kiertää Android 13:n käyttöoikeusrajoituksia. FvncBot pystyy ohjaamaan laitetta etänä, lukemaan asennettujen sovellusten listan, näyttämään peiteikkunoita ja keräämään arkaluonteisia tietoja.

SeedSnatcher puolestaan leviää Telegramissa “Coin”-nimisenä sovelluksena ja on suunniteltu kryptovaluuttoihin kytkettyjen tilien kaappaamiseen. Se pystyy varastamaan laitteesta tiedostoja ja yhteystietoja, sieppaamaan tekstiviestejä sekä poimimaan kaksivaiheisen tunnistautumisen koodeja. Lisäksi se voi näyttää peitenäkymiä käyttäjän huijaamiseksi.

Haittaohjelman taustalla toimivien operaattoreiden epäillään olevan Kiinasta tai kiinankielisiä.

Kolmas havainto liittyy ClayRat-haittaohjelmaan, josta on löydetty entistä vaarallisempi versio. Päivitys hyödyntää sekä käyttöapupalveluja että SMS-oikeuksia. Se kykenee tallentamaan näppäinpainalluksia, peittämään toimintansa järjestelmäpäivitystä muistuttavilla näkymillä ja luomaan tekaistuja ilmoituksia.

ClayRat voi jopa avata laitteen lukituksen automaattisesti, kuvata näyttöä ja kaapata ilmoituksia. Haittaohjelmaa levitetään 25 huijausverkkotunnuksen kautta, jotka jäljittelevät esimerkiksi YouTuben sivuja.

Asiantuntijat muistuttavat, että Android-laitteen voi suojata lataamalla sovelluksia vain Google Play -sovelluskaupasta tai muista luotettavista lähteistä. Käyttäjän tulee muistaa, ettei mitään sovelluksia pidä asentaa pelkän ponnahdusikkunan kehotuksesta. Laitteet on syytä pitää ajan tasalla eli ajaa aina turvapäivitykset, kun niitä tulee tarjolle. Käyttäjän kannattaa suosia tunnistautumissovelluksia SMS-koodien sijaan.

Kuva: Pixabay

Hei! Luitko jo tämän?

Mersun uutuus on sähköauto, joka on kuin kotonaan Suomen talviolosuhteissa