Haitta- ja huijausohjelmien aktiivisuus on kohonnut selvästi lähiviikkojen aikana. Myös pahamainen FluBot on osoittanut heräämisen merkkejä. Aloitamme blogisarjan, jossa tietoturva-asiantuntijamme Mikael Peltomaa avaa haitta-ja huijausohjelmien toimintaperiaatteita tarkemmin. Ensimmäisessä osassa kurkistetaan viime viikkoina aktivoituneen työtarjousviestien kulissien taakse.

Huom! Osa linkeistä on tarkoituksella tehty toimimattomaksi laittamalla jokin merkeistä hakasulkeiden sisään [], sillä linkit johtavat mahdollisesti haitallisille sivuille.

Huijausviesti ohjaa WhatsAppiin

Liikkeellä on tällä hetkellä monenlaisia huijausviestejä, joita lähetetään satunnaisten ihmisten puhelinnumeroihin. Käytännössä suositus on aina, että viestiin ei pidä vastata eikä reagoida mitenkään ja viesti kannattaa poistaa sen saavuttua. Nyt kuitenkin ajattelin vastata huijarin lähettämään viestiin ja katsoa, mihin se johtaa.

Ensimmäinen yhteydenotto työnumerooni saapui 5.5.2022 klo 10:05 iMessage-sovelluksen kautta lähteestä: xin12108@zj7am2vpfi.cn. Työnumeroni ei ole ollut julkisessa levityksessä, eikä sitä käyttäen ole rekisteröidytty mihinkään palveluihin.

Viestin sisältö oli:
Moi! Sinut on valittu osa-aikaiseen/kokoaikaiseen työhön. Päiväpalkka 10 euroa – 200 euroa, työ on hyvin yksinkertaista, voit tehdä sen milloin tahansa, missä tahansa, ottaa vastaan työ, plus ota yhteyttä WhatsAppiin:358414806295

kuvituskuva

Eli ensin kohdetta lähestytään iMessage-sovelluksen kautta, mutta sen jälkeen keskustelu pyritään siirtämään WhatsApp-sovellukseen.

Sähköpostiosoitteesta, josta viesti saapui (xin12108@zj7am2vpfi.cn), ei löytynyt mitään tietoa tai hakutuloksia. Domain zj7am2vpfi.cn ei myöskään paljastanut kovin hyödyllistä tietoa omistajasta tai muustakaan.

Otin yhteyttä annettuun numeroon ja ilmoitin olevani kiinnostunut työstä.

kuvituskuva

Vastauksessa kohdetta (tässä tapauksessa minua) pyydetään liittymään osaksi kumppanuusohjelmaa, jonka ideana on käydä tykkäämässä videoita ja tilata annettuja Facebook- ja TikTok-profiileja. Näistä toimenpiteistä luvataan vastineeksi rahaa.

Ilmoitan, että tahdon jatkaa, ja pyydän rekisteröitymislinkkiä.

Huijari toimittaa linkin, joka johtaa sivustolle: https[:]//dt-consortium.com/register/134814
Huijari pyytää todistukseksi onnistuneesta rekisteröitymisestä kuvakaappausta sivusta, joka avautuu rekisteröitymisen ja onnistuneen sisäänkirjautumisen jälkeen.

kuvituskuva

Huijaussivusto vaikuttaa pyramidihuijaukselta

Rekisteröitymissivu pyytää syöttämään puhelinnumeron ja +maakoodin sekä luomaan salasanan ja tekemään capcha-tyyppisen varmistuksen käyttämällä varmistusnumeroa, joka oli mukana linkissä (134814).

kuvituskuva

Sisäänkirjautumisen jälkeen aukeaa seuraavanlainen sivu.

kuvituskuva

Nopeasti tarkasteltuna sivusto vaikuttaa perinteiseltä pyramidihuijaukselta. Sivustolta voi ostaa eri VIP-tasoja omalle tunnukselleen sillä idealla, että mitä korkeampi VIP-taso on, sitä enemmän saa rahaa takaisin, kun käy tykkäämässä videoista ja tilaamassa sivustoja.

VIP-tasojen osto tapahtuu siirtämällä tietty summa Tether(USDT)-kryptovaluuttaa lompakon osoitteeseen, joka generoidaan yksilöidyksi jokaiselle käyttäjälle.

kuvituskuva

Huijaussivusto peittää jälkensä

Huijaussivusto sijaitsee osoitteessa dt-consortium[.]com. Domainin hostauksen tarkempi selvittäminen ei ole mahdollista kovin helposti, koska kyseinen domain käyttää hyväkseen Cloudflaren palvelua, joka piilottaa palvelimen todellisen ip-osoitteen.

Kyseisen domainin WHOIS-tiedoista paljastuu, että domain on rekisteröity 23.3.2022, joten se on ollut olemassa tämän tekstin julkaisun hetkellä alle 2 kuukautta.

Seuraavaksi kohdetta pyydetään navigoimaan sivun alareunassa olevalle “Task Hall” napille.
Tämä johtaa sivulle, jolla voi päivittää oman VIP-tasonsa tai nähdä mitä toimeksiantoja (tasks) itselle on saatavilla kyseisellä hetkellä.

kuvituskuva kuvituskuva

Kokeilin satunnaisesti läpi noin kymmenen eri Facebook-linkkiä. Kaikki vaikuttivat olevan jonkinlaisia videopelien striimaamiseen keskittyviä sivustoja. En löytänyt helposti mitään todisteita tavasta, jolla sivusto pystyisi todentamaan, onko käyttäjä oikeasti käynyt tykkäämässä tai jakamassa linkkien takaa löytyviä sivuja vai ei.

Toimeksiantojen ottamisen jälkeen minua pyydettiin klikkaamaan sivustolla olevaa “App download” -nappia, jonka kautta pääsee asentamaan sovelluksen joko iOS- tai Android-laitteelle.

kuvituskuva

Onko kyse FluBot-haittaohjelmasta?

Mobiilisovellus on salattu ja lähdekoodi obfuskoitu eli tarkoituksenmukaisesti sotkettu. Sovelluksen analysointi on kirjoitushetkellä vielä kesken. Tähän mennessä on saatu varmuus siitä, että sovellus ei sisällä tällä hetkellä yleisesti leviävää FluBot-haittaohjelmaa, mutta on kuitenkin varmaa, että sovellus on haitallinen, eikä sitä tule asentaa mobiililaitteelle.

Mitä haittaohjelman taustalta paljastuu?

Blogisarjan seuraavassa osassa kurkistetaan haittaohjelman pellin alle ja tutkitaan tarkemmin, kuinka se toimii.

Tekstin on kirjoittanut Mikael Peltomaa, tietoturva-asiantuntija, 050 377 4533, mikael.peltola@talentree.fi. Kiinnostaako tietoturvan kehittäminen? Ota yhteyttä liiketoimintajohtajaamme Santeri Siltalaan.