Halpa tv-boksi voi olla osa miljoonien laitteiden bottiverkkoa – tehdasasetusten palautus ei auta
Halpa nettikaupasta tilattu Android-boksi voi välittää rikollista liikennettä jo ennen kuin avaat pakkauksen. Nyt verkon takaa on tunnistettu pörssiyhtiö, eikä boksia saa puhtaaksi millään tehdasasetuksella.
Tiivistelma
Neljä vuotta jatkunut Popa-välityspalvelu valjastaa 1,5–2,5 miljoonaa kuluttajalaitetta rikolliseen liikenteeseen. Tutkijat ovat yhdistäneet verkon NASDAQ-listattuun Alarum Technologiesiin. Haittaohjelma istuu laitteen laiteohjelmistossa, joten tehdasasetusten palautus ei poista sitä. Ainoa keino on irrottaa laite verkosta ja vaihtaa se.
Olohuoneen tv-boksi näyttää tekevän juuri sitä, mitä lupasi. Se suoratoistaa elokuvat ihan moitteetta, eikä mikään ruudulla viittaa ongelmaan. Taustalla laite voi silti välittää rikollisten liikennettä tuhansille tuntemattomille. Omistaja ei huomaa mitään.
Tietoturvatoimittaja Brian Krebs raportoi 18. kesäkuuta neljä vuotta pyörineestä Popa-nimisestä välityspalvelusta. Se valjastaa kerrallaan 1,5–2,5 miljoonaa kuluttajalaitetta osaksi niin sanottua asuinpaikkaproxy-verkkoa. Mukana on tv-bokseja, puhelimia, tabletteja ja älytelevisioita. Niiden kautta kierrätetty liikenne menee mainospetoksiin, tilien kaappauksiin ja massamittaiseen datan haravointiin, myös tekoälyn opetusaineistoksi.
Tartunnan saaneet laitteet ovat tavallisia kulutustuotteita. Krebs kertoo, että kyse on usein halvoista merkittömistä Android-tv-boksaista kuten X96 Ministä ja T95:stä, nettikauppojen geneerisistä suoratoistolaitteista ja taulutietokoneista. Joukossa on myös piraattisovelluksia sekä joitakin Samsungin Tizen- ja LG:n webOS-älytelevisioiden sovelluksia. Yhteistä niille on alhainen hinta ja tuntematon valmistaja.
Uutta vuonna 2026 on se, että verkon takaa löytyy nimi. Krebs kokoaa yhteen usean tietoturvayhtiön, muun muassa Quriumin ja Synthientin, havainnot. Ne yhdistävät liikenteen NetNut-nimiseen välityspalveluun, jonka omistaa pörssiyhtiö Alarum Technologies (NASDAQ: ALAR). Popa toimii Vo1d-bottiverkon lisäosana ja kytkeytyy heinäkuussa 2025 osin alas ajettuun BadBox 2.0 -ekosysteemiin.
Yhtiö kiistää syytökset. Alarum ja NetNut sanovat, ettei kyse ole bottiverkosta vaan kaistanjakoon rakennetusta ohjelmistokehyksestä, joka myytiin ja lisensoitiin kolmansille osapuolille jo vuosia sitten. Tutkijat vastaavat, että Popa-laitteet välittävät liikennettä NetNutin nykyisille asiakkaille. Yli 20 analysoidusta Popa-julkaisijasta yksikään ei pyytänyt käyttäjältä lupaa.
Suomi ei ole sivustakatsoja. Kyberturvallisuuskeskus antoi virallisen varoituksen 25. kesäkuuta 2025 havaittuaan kasvanutta haitallista liikennettä suomalaisista kotiverkoista alkukesästä. Liikenne kytkeytyi halpoihin tv-laitteisiin ja boksaihin, joihin haittaohjelma oli esiasennettu. Virosta raportoitiin yli 7 000 tartunnan saanutta laitetta.
Tässä on syytä olla tarkkana ajoituksen kanssa. Vuoden 2025 viranomaistoimi koski BadBox 2.0:aa, ja NetNutin sekä Alarumin nimet ovat tulleet esiin vasta nyt kesäkuussa 2026. Laitekanta on sama, mutta yksikään suomalainen viranomainen ei toistaiseksi ole nimennyt NetNutia tai Alarumia. Se halpojen tv-boksien vitsaus, josta Kyberturvallisuuskeskus varoitti viime kesänä, on saanut taakseen nimetyn pörssiyhtiön.
Tunnistusmerkit
Mistä tietää, onko laite saastunut? Yksittäinen merkki ei vielä todista mitään, mutta useampi yhtä aikaa kannattaa ottaa todella vakavasti.
- Laitteessa on sovelluksia, joita et ole itse asentanut.
- Laite lähettää jatkuvasti verkkoliikennettä silloinkin, kun sitä ei käytetä. Boksi käy myös kuumana joutilaana.
- Google Play Protect on poistettu käytöstä, tai laitteen käyttöönotto kehotti kytkemään sen pois.
- Selaimessa näkyy outoja uudelleenohjauksia, tai operaattori lähettää ilmoituksen haitallisesta liikenteestä yhteydessäsi.
- Boksi on epäilyttävän halpa, merkitön eikä Play Protect -sertifioitu.
Mitä tehdä
Tärkein neuvo on myös ikävin. Miten haittaohjelma selviää tehdasasetusten palautuksesta? Se istuu laitteen laiteohjelmistossa eli järjestelmäkuvassa, joten palautus ei kosketa sitä lainkaan. Ainoa varma keino on irrottaa laite verkosta ja vaihtaa se.
– Poista laite välittömästi verkosta, ohjeistaa Kyberturvallisuuskeskus. Jos valmistaja ei tarjoa korjausta, laite kuuluu Kyberturvallisuuskeskuksen mukaan sähköromuun, koska sitä ei saada puhtaaksi.
Korvaavaa laitetta hankkiessa kannattaa valita vain Google Play Protect -sertifioitu Android TV OS -laite. Saastuneet boksit ovat paljasta AOSP-pohjaa eivätkä koskaan läpäise sertifiointia.
Vaihda salasanat puhtaalta laitteelta, ei saastuneelta boksilta. Jos käytit boksilla pankkisovelluksia, ota yhteys pankkiin.
Eristä älytelevisiot ja muut IoT-laitteet vierasverkkoon, jolloin ne eivät pääse samaan verkkoon kotitietokoneen ja puhelimen kanssa. Havainnoista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Asuinpaikkaproxy (residential proxy)
Asuinpaikkaproxy reitittää nettiliikennettä tavallisen kotitalouden laitteen ja IP-osoitteen kautta. Rikollinen näyttää siltä, että hänen liikenteensä tulee suomalaisesta olohuoneesta, ei palvelinkeskuksesta. Niinpä petoksen tai kaapatun tilin liikenne ohittaa monet estot, koska se sulautuu aitoon kotikäyttöön.
Halvalla saa joskus kalliisti. Boksin 25 euron hinta ei kerro siitä, mitä laite tekee taustalla. Se ei kerro myöskään siitä, kenen liikennettä se kotiverkostasi välittää.