Haittaohjelma väärentää palautuslause-kyselyn kryptolompakon omaan sovellukseen
Väärennös ei aukea epäilyttävällä verkkosivulla vaan aidon Ledger Live- tai Trezor Suite -sovelluksen sisällä, joten tuttu neuvo osoitteen tarkistamisesta ei auta. Yksi sääntö pitää silti pintansa.
Tiivistelma
Kasperskyn tutkijat kuvaavat OkoBot-nimisen Windows-haittaohjelman, joka piirtää valheellisen palautuslause-kyselyn suoraan aidon kryptolompakko-ohjelman ikkunaan. Uhreja on satoja yli 25 maassa. Suomea ei mainita, mutta ainoa kestävä puolustus on tuttu: laitelompakko ei koskaan kysy palautuslausetta tietokoneella.
Ruutuun avautuu Ledger Live, aivan tutun näköisenä. Sitten sovellus pyytää jotain, mitä sen ei pitäisi koskaan kysyä: syötä 24 sanan palautuslauseesi tähän kenttään.
Juuri tässä on uuden OkoBot-haittaohjelman kylmä oivallus. Väärä kysely ei aukea epäilyttävällä verkkosivulla, jonka osoitteen voisi tarkistaa. Se piirtyy suoraan aidon kryptolompakko-ohjelman ikkunan sisään.
Kasperskyn GReAT-tutkimusryhmä kuvasi ilmiön Securelist-blogissa 15. heinäkuuta 2026. Dmitry Galov, ryhmän Venäjän ja IVY-maiden yksikön johtaja, kertoo kyseessä olevan modulaarinen Windows-kehys, jossa on yli 20 erillistä hyötykuormaa hyökkääjän hallinnoimalla infrastruktuurilla.
– Uskottavuus syntyy ajoituksesta, sillä väärä kysely avautuu vasta kun uhri on kytkenyt aidon laitelompakon koneeseen, Galov kuvaa tutkimuksessaan.
Ytimessä on moduuli nimeltä SeedHunter. Se seuraa, mitkä ohjelmat ovat käynnissä, ja soluttautuu Trezor Suiten, Ledger Liven ja Ledger Walletin sisään. Muut moduulit tähtäävät myös Exodukseen ja Litecoin-QT:hen.
Haittaohjelma koukkaa sovelluksen sisäiseen Electron-kerrokseen ja maalaa sen päälle valheellisen palautuslause-sivun. Se voi odottaa hiljaa, kartoittaa liitetyt USB-laitteet ja ponnahtaa esiin vasta oikean hetken tullen.
Näin uhri näkee kyselyn juuri silloin, kun lompakon avaaminen tuntuu muutenkin luontevalta. Kaikki kirjoitettu teksti lähtee hyökkääjälle.
Rinnalla kulkee muita moduuleja. Ne lukevat leikepöytää, ottavat kuvakaappauksia ja tallentavat jopa videota – OkoSpyware nauhoittaa lompakko- ja salasananhallintaikkunoita.
Palautuslause (seed phrase)
Palautuslause on 12–24 sanan jono, joka on lompakon varmuuskopio. Kuka tahansa, jolla on nuo sanat, voi palauttaa lompakon omalle laitteelleen ja tyhjentää varat. Sanojen syöttäminen mihin tahansa ohjelmaan luovuttaa koko lompakon.
OkoBot leviää kahta reittiä. Toinen on ClickFix-tyylinen manipulointi, toinen GitHubista ladattu troijalaistettu kehitystyökalu, esimerkiksi väärennetty SQL Server Management Studion asennuspaketti, joka niputtaa aidon ohjelman ja haitallisen istukan yhteen. Ohjelmistokehittäjät ovat oikeastaan keskeinen kohde.
Tekijöistä ei ole varmuutta. Venäjänkieliset koodikommentit ja IVY-maiden IP-osoitteiden esto viittaa venäjänkielisiin tekijöihin, mutta valtiollista toimijaa ei ole osoitettu.
Kampanja on ollut käynnissä yli vuoden ajan ja jatkuu yhä. Uhreja on satoja yli 25 maassa, suurimmat osuudet Brasiliassa, Vietnamissa, Kanadassa, Meksikossa ja Turkissa.
Rahamäärää ei ole julkaistu, eikä Suomea mainita uhrimaiden joukossa. Kohteiden painottuminen kehittäjiin selittää levikkiä, sillä juuri he asentavat koneelleen työkaluja jatkuvalla syötöllä.
Onko tämä sitten suomalaisen huoli? Kyberturvallisuuskeskus ei ole antanut OkoBotista erillistä varoitusta, eikä yhtään suomalaisuhria ole tiedossa.
Keskuksen vakioneuvo kryptolompakoista on kuitenkin täsmälleen tämän hyökkäyksen vastalääke. Palautuslausetta ei jaeta kenellekään.
Tunnistusmerkit
Vaarallisin merkki on odottamaton kehotus vahvistaa tai palauttaa palautuslauseesi, varsinkin heti laitteen kytkemisen jälkeen. Aito laitelompakko ei koskaan pyydä 12–24 sanaa tietokoneelle, selaimeen tai sovellukseen. Nuo sanat syötetään vain laitteen omalla näytöllä.
Jos Ledger Live tai Trezor Suite näyttää palautuslausekentän, kyse on petoksesta, vaikka ohjelma näyttäisi kaikin puolin aidolta.
Mitä tehdä
Älä koskaan kirjoita palautuslausetta koneelle. Säilytä se offline-muodossa paperilla tai metallilla.
Jos epäilet tartuntaa, oleta palautuslause menetetyksi. Siirrä varat puhtaalla laitteella uuteen lompakkoon, luo täysin uusi lompakko ja uusi palautuslause, ja tyhjennä sitten saastunut kone.
Ilmoita tapauksesta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Kehittäjien kannattaa ladata työkalunsa vain vahvistetuista lähteistä. Jää nähtäväksi, ehtiikö OkoBot Suomeen ennen kuin siitä ehditään varoittaa.
Lahteet
- Securelist / Kaspersky GReAT (15.07.2026)
- Kaspersky (tiedote) (15.07.2026)
- Kyberturvallisuuskeskus, viikkokatsaus (16.07.2026)