Ilmainen VPN voi valjastaa laitteesi osaksi kiinalaista välityspalveluverkkoa
Traficomin alainen Kyberturvallisuuskeskus julkaisi 18.3.2026 tiedotteen kiinalaisesta IPIDEA-yhtiöstä, joka ylläpitää yhtä maailman suurimmista asuinpaikka-välityspalveluverkostoista. Kuluttajalaitteita kaapataan osaksi verkostoa muun muassa ilmaisten VPN-sovellusten kautta, minkä jälkeen IPIDEA myy reititysyhteyksiä kolmansille osapuolille. Havainnot perustuvat Google Threat Intelligence Groupin (GTIG) vuonna 2026 julkaisemaan raporttiin.
VPN-yhteys on sinänsä hyödyllinen työkalu verkkoliikenteen salaamiseen ja yksityisyyden suojaamiseen. Ongelmia syntyy silloin, kun sovellus ei toimi luvatulla tavalla vaan valjastaa laitteen välityspisteeksi muiden toimijoiden liikenteelle.
IPIDEA ei ole yksittäinen haittaohjelma vaan liiketoimintamalli
IPIDEA toimii kuin tavanomainen proxy-palveluntarjoaja, mutta verkoston uloskäyntisolmut koostuvat kaapatuista kuluttajalaitteista. Käytännössä laitteen omistajan internetyhteyttä käytetään muiden liikenteen reitittämiseen. Lokitiedoissa näkyy kaapatun laitteen IP-osoite, vaikka varsinainen tekijä toimii aivan toisaalla.
Kaapattuja laitteita hyödynnetään myös hajautettuihin palvelunestohyökkäyksiin sekä pahantahtoisen verkkoliikenteen peittelyyn. Google on jo katkaissut IPIDEAn hallinnan miljooniin laitteisiin estotoimillaan. Kyberturvallisuuskeskuksen Autoreporter-palvelussa IPIDEA-havainnot alkoivat kasvaa 18.2.2026, ja Suomessa niitä kirjataan nyt noin 900 päivässä. Määrä on samaa luokkaa kuin aiemmin laajasti raportoidulla Badbox 2.0 -haittaohjelmalla.
Miten laite päätyy osaksi verkostoa
IPIDEA käyttää useita levityskanavia. Osa niistä on silmin nähden epäilyttäviä, osa vaikuttaa ensi silmäyksellä tavanomaisilta sovelluksilta.
- Yhtiön omat VPN-sovellukset, kuten Galleon VPN ja Radish VPN, jotka markkinoivat itseään ilmaisina yksityisyysratkaisuina
- Kolmansien osapuolten sovellukset, joihin on upotettu IPIDEAn mainos- tai monetointityökaluja
- SDK-paketit, joita tarjotaan sovelluskehittäjille nimillä Castar, Earn, Hex ja Packet. Kehittäjille luvataan tuloja, mutta lopputuloksena käyttäjän laite muuttuu uloskäyntisolmuksi
- Valesovellukset, joita on tunnistettu yli 3 000 Windowsille ja yli 600 Androidille. Ne esiintyvät esimerkiksi OneDrive Sync- tai Windows Update -työkaluina
- Esiasennettu koodi halvoissa Android TV -suoratoistolaitteissa, joissa verkosto on toiminnassa heti laitteen käyttöönotosta alkaen
Yhteistä levityskanaville on ansaintalogiikka, jossa loppukäyttäjää ei koskaan kerrota tilanteen todellista luonnetta. Ilmainen VPN, kaistan jakamista luvaava sovellus tai halpa suoratoistolaite voivat kaikki päätyä saman verkoston osaksi.
Ilmaisten VPN-sovellusten ansaintamallit
VPN-palvelun ylläpito edellyttää palvelininfrastruktuuria, kaistanleveyttä ja jatkuvaa teknistä ylläpitoa. Kun palvelusta ei peritä maksua, toiminta rahoitetaan muilla keinoin. Käytännössä malleja on kolme.
Yleisin on käyttäjädatan myynti. Selaushistoria, sijaintitiedot ja muu käyttödata päätyvät datamarkkinoille kolmansille osapuolille. Esimerkiksi Urban VPN -selainlaajennus, jolla oli yli kahdeksan miljoonaa asennusta, jäi kiinni käyttäjien tekoälykeskustelujen salaamattomasta keräämisestä ja välittämisestä ulkopuolisille (Koi Security -analyysi 12/2025).
Toinen ansaintamalli on mainosinjektio ja -seuranta. Osa ilmaisista VPN-palveluista istuttaa mainoksia selaimeen tai seuraa käyttäjän klikkauksia kohdennettua mainontaa varten. Käyttäjä on asentanut VPN:n nimenomaan yksityisyyden suojaamiseksi, mutta sovellus tekee juuri päinvastaista.
Kolmas ja vakavin malli on laitteen valjastaminen osaksi välityspalvelu- tai bottiverkkoa. IPIDEAn tapaus kuvaa tätä ilmiötä laajimmillaan, mutta sama logiikka on ollut käytössä aiemminkin.
911 S5 -bottiverkko levisi ilmaisten VPN-sovellusten kautta
Yhdysvaltain viranomaiset purkivat toukokuussa 2024 niin kutsutun 911 S5 -bottiverkon, joka oli laajuudeltaan poikkeuksellinen. Verkko kattoi 19 miljoonaa kaapattua IP-osoitetta yli 190 maassa. Bottiverkon kautta tehtiin petoksia yhteensä 5,9 miljardin dollarin arvosta. Verkon ylläpitäjä YunHe Wang tienasi henkilökohtaisesti noin 99 miljoonaa dollaria myymällä pääsyä saastuneisiin laitteisiin.
Wang upotti haittaohjelman ilmaisiin VPN-sovelluksiin nimeltä MaskVPN, ShieldVPN ja PaladinVPN. Käyttäjät latasivat sovelluksen suojautuakseen, mutta antoivat samalla laitteensa rikollisten käyttöön. Bottiverkkoa hyödynnettiin muun muassa pandemian aikaisiin vakuutuspetoksiin ja varastettujen luottokorttien käyttöön. Tuhansien tavallisten käyttäjien laitteet toimivat näissä rikoksissa välikäsinä täysin omistajien tietämättä.
Mobiililaitteisiin kohdistuvat uhat
Kaspersky havaitsi vuoden 2025 toisella neljänneksellä uuden Android-troijalaisen (Trojan-Spy.AndroidOS.OtpSteal.a), joka naamioitui VPN-sovellukseksi. Troijalainen kaappasi kertakäyttösalasanoja viestisovelluksista ja välitti ne hyökkääjille Telegram-botin kautta. Käytännössä haittaohjelma avasi suoran reitin käyttäjän pankkitilille.
Mobiililaitteiden haittaohjelmatilanne on muutenkin kiristynyt. Kasperskyn mukaan vuoden 2025 ensimmäisellä puoliskolla havaittiin lähes nelinkertainen määrä mobiilipankkitroijalaisia edellisen vuoden vastaavaan jaksoon verrattuna.
Ilmaisen ja maksullisen VPN-palvelun keskeiset erot
| Ominaisuus | Ilmainen VPN | Maksullinen VPN |
| Rahoitusmalli | Datankeruu, mainokset, proxy-liikenne | Käyttäjämaksut |
| Lokikäytäntö | Usein kerää ja myy lokeja | No-log-politiikka, usein auditoitu |
| Salaus | Heikko tai puuttuva | AES-256 tai vastaava sotilastason salaus |
| Palvelinverkko | Suppea, hidas | Laaja, nopea |
| Tietoturva-auditointi | Ei koskaan | Säännölliset ulkopuoliset auditoinnit |
| Tuki haittatilanteessa | Olematon | Olematon |
Maksullisen VPN-palvelun liiketoiminta perustuu maineeseen ja luottamukseen. Jos palvelun havaitaan myyvän käyttäjätietoja tai salauksessa paljastuu puutteita, asiakaskato on välitön. Ilmaisilla VPN-sovelluksilla vastaavaa liiketoimintariskiä ei ole, mikä heijastuu suoraan palvelun laatuun ja turvallisuuteen. Luotettavia, riippumattomasti auditoituja VPN-palveluja voi vertailla esimerkiksi vpnvertailu.fi-sivustolla.
Epäilyttävän VPN-sovelluksen tunnusmerkit
Kaikki ilmaiset VPN-sovellukset eivät ole haitallisia. Joillakin tunnetuilla palveluntarjoajilla on ilmaisia versioita, jotka toimivat sisäänheittotuotteena maksulliselle tilaukselle. Suurin riski liittyy tuntemattomiin sovelluksiin, joissa on tyypillisesti kolme varoitusmerkkiä.
Ensimmäinen on ylimitoitetut käyttöoikeudet. VPN-sovellus ei tarvitse pääsyä kameraan, yhteystietoihin tai tekstiviesteihin. Jos asennus pyytää laajoja käyttöoikeuksia, sovellukseen kannattaa suhtautua varauksella.
Toinen tunnusmerkki on anonyymi kehittäjä. Luotettavalla VPN-palvelulla on näkyvä organisaatio taustallaan, selkeä tietosuojaseloste ja fyysinen osoite. Jos kehittäjällä ei ole muita sovelluksia eikä verkkosivua, kyseessä on todennäköisesti epäluotettava taho.
Kolmas varoitusmerkki on lupaus, joka vaikuttaa epärealistiselta. Rajoittamaton nopeus, pääsy kaikkiin palvelimiin ja nolla mainoksia ilmaiseksi on yhdistelmä, johon on syytä suhtautua kriittisesti. Samaan kategoriaan kuuluvat sovellukset, jotka lupaavat tuloja käyttämättömän internetkaistan jakamisesta. Kaistan myynti tarkoittaa käytännössä laitteen avaamista tuntemattoman liikenteen reitittämiseen.
Kyberturvallisuuskeskuksen suositukset
Tiedotteessaan Kyberturvallisuuskeskus antaa useita käytännön ohjeita. Android-laitteissa Google Play Protect kannattaa pitää päällä, sillä se tunnistaa ja poistaa tunnettuja IPIDEA-haittaohjelmia. Ilmaisia VPN-palveluita on syytä välttää, ja kaistanleveyttä jakaviin sovelluksiin tulee suhtautua erityisellä varauksella.
Käyttöjärjestelmä ja sovellukset on pidettävä ajan tasalla, sillä osa levityskanavista hyödyntää vanhoja haavoittuvuuksia. Epäilyttäviltä vaikuttavat halvat Android TV -suoratoistolaitteet kannattaa korvata tunnetun valmistajan tuotteella, koska haittakoodi voi olla esiasennettu.
Toimenpiteet saastuneelle laitteelle
Jos laitteelle on asennettu epäilyttävä VPN-sovellus tai muu kaistan jakamista luvaava ohjelmisto, se kannattaa poistaa välittömästi. Salasanat on syytä vaihtaa erityisesti sähköpostin, pankkipalveluiden ja sosiaalisen median osalta, ja laitteelle kannattaa ajaa perusteellinen haittaohjelmatarkistus ajantasaisella virustorjuntaohjelmalla.
Haittaohjelman merkkejä voivat olla laitteen tavanomaista hitaampi toiminta, tuntemattomat ponnahdusikkunat tai poikkeuksellinen verkkoliikenne. Tarkemman oppaan haittaohjelman tunnistamiseen tarjoaa artikkeli Näin tunnistat haittaohjelman tietokoneeltasi.
Traficomin Kyberturvallisuuskeskus suosittelee ilmoittamaan havaituista haittaohjelmista osoitteeseen cert@traficom.fi.
VPN on hyödyllinen työkalu oikein valittuna
Luotettava VPN-palvelu on toimiva keino verkkoliikenteen salaamiseen erityisesti julkisissa WiFi-verkoissa ja matkustaessa. IPIDEA-verkoston paljastuminen ja aiemmat bottiverkkotapaukset kuitenkin osoittavat, että sovelluksen valinnalla on merkitystä.
Muutaman euron kuukausimaksu auditoidusta palvelusta on käytännössä vakuutus sille, että yhteys todella toimii niin kuin VPN-palvelun kuuluukin: salaa liikenteen eikä avaa laitetta kolmansien osapuolten käytettäväksi.