Katala haittaohjelma levinnyt älypuhelimissa: Puhelinlaskusta voi löytyä ikävä yllätys

Kyseessä on GriftHorse-niminen troijalainen, jota on levitetty peräti 200 erilaisen huijaussovelluksen kautta. Mikä pahinta, nämä sovellukset ovat olleet myös Googlen virallisen Play Store -sovelluskaupan valikoimassa.

Mobiililaitteiden tietoturvaan erikoistuneen Zimperium-yhtiön tietoturvatutkijoiden mukaan haittaohjelma on tartuttanut yli 10 miljoonaa Android-puhelinta yli 70 maassa. Uhreilta on viety rahaa kymmenien miljoonien dollarien edestä.

Tutkijoiden raportin mukaan GriftHorsea levitettiin aktiivisesti ainakin marraskuusta 2020 tämän vuoden huhtikuuhun. Haittaohjelman levittäjien arvioidaan tienanneen 1,5–4 miljoonaa dollaria kuussa.

Lue myös: Viisikymppinen nainen tekeytyi sairaanhoitajaopiskelijaksi ja kaupitteli “koronarokotetta” 150 eurolla – tuomio petoksen yrityksestä

Wiredin mukaan huijaussovellukset oli naamioitu viattoman näköisiksi arkipäiväisiksi hyötysovelluksiksi, joiden nimiä olivat muun muassa ”Handy Translator Pro” ja ”Heart Rate and Pulse Tracker”.

Käyttäjän ladatessa minkä tahansa haittaohjelman levittämiseen käytetyistä huijaussovelluksista puhelimeensa, GriftHorse alkaa pommittaa tätä ilmoituksilla ja ponnahdusikkunoilla jopa viidesti tunnissa.

Näissä luvataan käyttäjälle alennuksia tuotteista tai kerrotaan tämän voittaneen palkintoja. Käyttäjää pyydetään varmentamaan puhelinnumeronsa syöttämällä se ponnahdusikkunan jälkeen avautuvaan näkymään.

Todellisuudessa puhelinnumeron syöttämällä käyttäjä tulee tilanneeksi huijarien tekemän tekstiviestipalvelun, joka veloittaa kymmeniä dollareita kuussa. Kyseessä on sama tekniikka, jolla esimerkiksi sms-pohjaiset hyväntekeväisyyslahjoitukset usein toimivat. Näin huijaus käy ilmi vasta uhrin nähdessä seuraavan puhelinlaskunsa.

Lue myös: Suomalaiset menettäneet miljoonia euroja pankkitunnuksia kalasteleville huijareille

GriftHorsesta raportoineet tutkijat Aazim Yaswant ja Nipun Gupta kuvailevat haittaohjelmaa edistyneeksi huijaukseksi, jonka ohjelmakoodi on laadukasta. Lisäksi troijalaisen levittämiseen on käytetty paljon erilaisia verkkosivuja ja moneen eri kategoriaan kuuluvia sovelluksia. Lisäksi huijaus esitettiin käyttäjän omalla kielellä ip-osoitteen perusteella.

Tutkijoiden huomautettua asiasta Googlelle huijaussovellukset on poistettu Play Storesta, mutta niitä on edelleen kolmannen osapuolen sovelluskaupoissa.