Stáhnete si TikTok, ale krade vám peníze z účtu a sleduje obrazovku v reálném čase. Falešná verze s „trojanem“ se šíří Evropou

Bezpečnostní firma ThreatFabric odhalila novou vlnu trojanu, který se maskuje jako TikTok a streamovací aplikace.

Zdroj fotografie: Tevfik Teker / Creative Commons / CC BY

Nejde o žádnou teoretickou hrozbu. Kampaně s názvy jako Tic_Italy_FBnebo Tic_France_FB prozrazují, že falešné aplikace se šíří přes facebookové reklamy a odkazy mimo oficiální obchod Google Play. Uživatel klikne, stáhne si něco, co vypadá jako TikTok, a během několika minut má v telefonu nástroj, který vidí jeho obrazovku v reálném čase, čte mu SMS zprávy s ověřovacími kódy a dokáže odkliknout bankovní převod, aniž by se oběť vůbec dozvěděla, že se něco děje. Nejhorší na tom je, že celý telefon funguje normálně. Žádné zamrzání, žádné podezřelé hlášky. Podvod běží na pozadí.

Jak infekce probíhá krok za krokem

Všechno začíná instalačním balíčkem s názvem typu „TikTokApp18+“ nebo „Live Streaming“. Vypadá nevinně, ikona připomíná TikTok, velikost souboru nevybočuje. Po spuštění ale dropper nasadí do telefonu druhou aplikaci, která se tváří jako „Google Play Services“. Ta už je trvalejší kotva. Za běhu si stáhne modul dex.module, který obsahuje celý arzenál.

A deset arzenálů je rozsáhlý:

• Phishingové overlaye – přes celou obrazovku vyskočí falešné přihlašovací okno bankovní aplikace. Vypadá identicky jako originál.
• Keylogging – každý stisk klávesnice se zaznamenává, včetně metadat o tom, do jakého pole uživatel píše.
• Zachytávání SMS a push notifikací – trojan čte ověřovací kódy dřív než vy. Push notifikace od banky? Ty rovnou potlačí, abyste si ničeho nevšimli.
• Živý přenos obrazovky – přes VNC kanál operátor vidí přesně to, co vy. Příkazy startVnca startScreenshotStreaming mu umožňují kontinuální náhled.
• Vzdálené ovládání – nejde jen o sledování. Útočník přehrává gesta a kliknutí přímo na vaše zařízení. Můžete otevřít bankovní aplikaci, zadat převod a potvrdit ho.

Klíčovým momentem řetězce je udělení přístupu k celému ovládání (Accessibility). Bez něj trojan nemůže převzít kontrolu. Falešná aplikace ale uživatele přesvědčí, že jde o nezbytný krok pro „aktualizaci Služeb Google Play“. Kdo potvrdí, otevře dveře dokořán.

Telefon jako síťová infrastruktura útočníka

Starší verze TrickMo uměly krást hesla a jednorázové kódy. To není nové; Zimperium už v říjnu 2024 popsal přes 40 variant s podobnými schopnostmi, včetně triku s falešnou zamykací obrazovkou, která kradla PIN nebo odemykací vzor.

Verze C ale přidává něco zásadně jiného. Komunikace s řídicím serverem už nepřechází přes klasické webové domény, které lze relativně snadno zablokovat. Místo toho využívá síť TON, decentralizovanou infrastrukturu postavenou na blockchainu. Endpointy s příponou .adnl neleží v běžném DNS, takže tradiční doménové „odstřihnutí“ je prakticky neúčinné. Provoz navíc vypadá jako běžný šifrovaný provoz TON.

A pak je tu TrickMo.C. Ta umí z infikovaného telefonu udělat síťový výstupní bod: přes SSH tunel a SOCKS5 proxy vede svůj provoz přes IP adresu oběti. Pro banku to znamená, že podvodná transakce přichází ze známého zařízení, ze známé sítě, ze známé IP adresy. Automatické protifraudové systémy tak mají výrazně menší šanci ji zachytit.

Z telefonu se tím pádem stává tři věci najednou: špionážní nástroj, podvodný terminál a anonymizační uzel pro útočníka.

Česko zatím oficiálně zasaženo není. Ale precedens existuje

Podle ThreatFabric jsou potvrzené kampaně TrickMo.C namířeny na Francii, Itálii a Rakousku. Ve čtvrtletním přehledu hrozeb NÚKIB za první kvartál 2026 ani v přehledu incidentů za duben 2026 se TrickMo.C neobjevuje. K dnešnímu dni tedy není veřejně potvrzen český případ.

Jenže Česko už podobnou kampaň prošlo. V roce 2024 ESET odhalil malware NGate, který cílil přímo na klienty české banky. Šířil se přes weby napodobující bankovní portály a Google Play, tedy stejným principem jako TrickMo.C: mimo oficiální obchod, přes sociální inženýrství. NÚKIB tehdy incident potvrdil. Rakousko, kde TrickMo.C už operuje, je přitom trh kulturně i jazykově blízký. Lokalizace kampaně pro Česko by nebyla technicky náročná.

Jak poznat falešnou aplikaci a co dělat

Rozlišit pravý TikTok od podvrhu není složité, pokud víte, na co se dívat:

Varovný signál	Co to znamená
Název typu „TikTokApp18+“ nebo „Live Streaming“	Pravý TikTok se tak nejmenuje
Název balíčku com.app16330.core20461apod.	Oficiální balíček TikToku vypadá jinak
Požadavek na Přístupnost / „omezená nastavení“	TikTok toto oprávnění nepotřebuje
Výzva k „aktualizaci služeb Google Play“	Google se tak neaktualizuje
Instalace z neznámého webu nebo QR kódu	Hlavní zdroj rizika

Důležitá věc: TikTok sám na svůj report uvádí, že oficiální APK pro Android lze stáhnout i mimo Google Play, ale výhradně z adresy tiktok.com/download. Jakýkoli jiný web nebo QR kód je varovný signál. Google ve své nápovědě zvyšuje, že aplikace z neznámých zdrojů mohou poškodit zařízení i data.

Pokud máte podezření, že jste si nainstalovali falešnou aplikaci:

• Neklikejte na žádné bankovní oznámení a nepotvrzujte žádné platby.
• Z jiného zařízení zavolejte banku na oficiální číslo, ne na číslo, které vám zobrazí telefon.
• Spusťte Google Play Protect – umí skenovat i aplikaci nainstalovanou mimo obchod a označit podezřelé.
• Pokud nejde aplikaci odinstalovat , restartujte telefon do nouzového režimu a odebírejte nedávno nainstalovanou aplikaci po jedné.
• Z čistého zařízení změňte hesla k bankovnictví i navázanému e-mailu.

Co přijde dál

ThreatFabric v analýze TrickMo.C našel ještě jednu znepokojivou věc: v kódu je načtený hookovací framework Pine a deklarovaná NFC oprávnění, ale ani jedno zatím není aktivně využíváno. Jsou to připravené zásuvky, do kterých operátoři mohou kdykoli „za tepla“ dodat novou funkci bez samostatné aplikace v telefonu oběti.

Trojan, který dnes krade bankovní přihlášení a zítra může klonovat bezkontaktní karty. Stačí jeden update modulu, který si telefon stáhne sám.