Janne Yli-Korhonen
24. helmikuuta, 2022 13:07
Tietoturvayhtiö Check Point kertoo uudesta viruksesta, jonka tutkijat ovat löytäneet. Check Point kertoo, että haittaohjelma on tarttunut jo ainakin 5 000 laitteeseen noin 20 maassa. Se leviää Microsoftin virallisen sovelluskaupan kautta.
Levittämisessä käytetään suosittuja pelejä. Esimerkkinä Check Point käyttää Temple Run 2 -peliä, josta on luotu Temple Endless Runner 2 -peli. Kyseinen peli julkaistiin sovelluskaupassa 6.9.2021. Myös muitakin haitallisia ohjelmia on ja Check Point on tiedottanut Microsoftia näistä.
Check Point on antanut haittaohjelmalle nimen Electron Bot. Sen kerrotaan toimivan takaovena, joka antaa hyökkääjälle mahdollisuuden ottaa uhrin laite hallintaansa.
Check Point kertoo, että Electron Botin avulla voi muun muassa hallita uhrin sometilejä, kuten Facebook-, Google- ja SoundCloud-tilejä, luoda uusia tilejä, kirjautua sisään, kommentoida ja tykätä toisten viesteistä.
Lisäksi haittaohjelma voi taustalla klikkailla nettisivujen mainoksia ja näin tuottaa mainostuloja halutuille sivustoille.
Botin koodi ladataan uhrin laitteelle dynaamisesti joka ajon aikana erikseen, joten käyttäjän koneella varsinaista haittaohjelmaa ei säilytetä. Taustalla haittaohjelma avaa piilotetun selainikkunan ja renderöi pyydetyn HTML-sivun kokonaan sekä matkii oikean ihmisen käyttäytymistä esimerkiksi liikuttamalla hiirtä.
Nettisivujen mainosten klikkailujen lisäksi haittaohjelma voi esimerkiksi katsella taustalla YouTube-videoita ja jättää niihin kommetteja.
Check Pointin mukaan Electron Bot on toistaiseksi pienilevikkinen, mutta kiinnostava, koska se on aktiivisessa leviämisvaiheessa juuri nyt. Eniten tartuntoja on todettu Ruotsissa, Bermudalla, Israelissa ja Espanjassa.
"Haittaohjelma on koodattu käyttäen Electron-sovelluskehystä, joten sillä on pääsy kaikkiin laitteen resursseihin, myös grafiikkasuorittimella suoritettavaan GPU-laskentaan. Botin koodi ladataan uhrin laitteelle dynaamisesti joka ajon aikana erikseen, joten hyökkääjät pystyvät muuttamaan botin käytöstä muokkaamalla koodia suorituskertojen välillä. Sillä voidaan pudottaa uhrin laitteelle myös esimerkiksi kiristyshaittaohjelma. Kaikki tämä tapahtuu käyttäjän huomaamatta. Useimmat uskovat, että virallisissa sovelluskaupoissa peleistä annetut arviot ovat luotettavia ja vain harva epäröi ladata sovelluksia laitteelleen. Käyttäjän on kuitenkin mahdotonta tietää, mitä sovelluksen mukana latautuu, joten lataamisessa on aina riskinsä", kertoo haittaohjelma-analyytikko Daniel Alima Check point Researhcilta Electron Botista.