Přes 100 tisíc lidí si stáhlo čtečku dokumentů z Google Play. Ve skutečnosti jim kradla přístupy do bankovnictví

Bankovní trojan Anatsa se opakovaně vrací do obchodu Google Play ukrytý v nenápadných PDF čtečkách, a jeho oběti se počítají na desítky až stovky tisíc.

Zdroj fotografie: Pexels

Představte si, že v obchodě s aplikacemi hledáte obyčejnou čtečku dokumentů. Vyberete si jednu s tisíci stažení, nainstalujete ji a zapomenete. Jenže právě tohle je scénář, na který sází operátoři jednoho z nejrozšířenějších bankovních trojanů pro Android. Malware Anatsa se do Google Play dostává opakovaně, pokaždé v jiném kabátě, ale se stejným cílem: dostat se k přihlašovacím údajům do bankovnictví. A nejde o okrajový problém. Jen u jedné z dokumentových čteček, konkrétně aplikace PDF Reader: File Manager z únorové kampaně 2024, bezpečnostní firma ThreatFabric zdokumentovala přes 100 tisíc stažení. Celkově si v té vlně pět různých dropperů nainstalovalo přes 150 tisíc uživatelů. A kampaně pokračují dodnes.

Tři vlny, pevný trik

Anatsa není jednorázový útok. Jde o sérii kampaní, které se liší názvem aplikace i datem, ale sdílejí identický mechanismus. Nejlépe zdokumentované vlny vypadají takto:

• Únor 2024 – pět dropperů včetně PDF Reader: Správce souborů s více než 100 tisíci staženími. Kampaň mířila mimo jiné i na Českou republiku.
• Červenec 2025 – aplikace Prohlížeč dokumentů – File Reader, která od 2. června (pod krycím názvem „Hybrid Cars Simulator, Drift & Racing“) nasbírala přes 50 tisíc instalací, než ji Google 30. června stáhl.
• Jaro 2026 – ThreatLabz identifikovali PDF Reader for Business Docs s balíčkem com.groundstation.informationcontrol.filestation_browsefiles_readdocs. Aplikace existovala v obchodě pouhých jedenáct dní, od 10. do 21. dubna, a stihla nasbírat řádově tisíce stažení.

Pokaždé jde o genericky pojmenovanou utilitu, která vypadá nevinně. Vždy projde kontrolou Google Play.

Proč to projde přes Google Play

Tady je jádro problému. Anatsa neposílá do obchodu hotový malware. Používá takzvaný model dropperu: aplikace, kterou Google schválí, je zpočátku čistá. Škodlivý kód si stáhne až poté, z řídicího serveru útočníků, maskovaný jako běžná aktualizace.

Celý řetězec má několik kroků. Nejprve si dropper stáhne konfigurační data a šifrované řetězce. Pak získá další DEX soubor ukrytý v assetech aplikace. Teprve na konci přijde URL finálního payloadu, samotného bankovního trojanu. Při automatické kontrole v Play Store tedy první APK nemusí obsahovat žádný škodlivý kód.

K tomu přidejte techniky proti analýze: detekci emulátorů a sandboxů, dešifrování za běhu a záměrně poškozené ZIP hlavičky, které komplikují statickou analýzu. Google sice uvádí, že Play Protect provádí přes 200 miliard skenů denně a aplikace testuje před zveřejněním, ale Anatsa je přesně typ hrozby, která využívá mezer mezi prvotní kontrolou a pozdějším chováním aplikace.

Řečeno přímo: Google Play je bezpečnější než instalace z neověřených zdrojů. Ale není neprůstřelný.

Co se děje po instalaci

Jakmile se Anatsa dostane do telefonu, začne pracovat systematicky. Nejprve si vyžádá přístup k Android Accessibility Services, funkci určené pro usnadnění ovládání uživatelům se specifickými potřebami. U obyčejné PDF čtečky je to zásadní varovný signál, kterého by si měl všimnout každý. Google sám ve svých pravidlech uvádí, že zneužití tohoto API je porušením zamýšleného účelu.

S tímto oprávněním trojan:

• Detekuje nainstalované bankovní aplikace na zařízení.
• Stáhne z řídicího serveru falešnou obrazovku přesně odpovídající konkrétní bance.
• Překryje legitimní bankovní aplikaci; uživatel vidí důvěrně známé rozhraní, ale ve skutečnosti zadává údaje útočníkům.
• Zachytí SMS zprávy a ověřovací kódy, čímž obejde dvoufaktorové ověření.
• V některých variantách přidává keylogger a zneužívá oprávnění SYSTEM_ALERT_WINDOW pro překryvná okna.

Nejde přitom jen o krádež hesla. ThreatFabric u Anatsa popisuje takzvaný Device-Takeover Fraud (podvodné převzetí zařízení), kdy útočníci dokážou zneužít telefon oběti k provedení transakce přímo. Firma už v roce 2023 potvrdila několik případů podvodů s reálnými finančními ztrátami. Aktuálně Anatsa cílí na více než 800 finančních institucí po celém světě, s nově přidanými cíli v Německu, Španělsku, Finsku, Jižní Koreji a Singapuru.

Cílí Anatsa i na české uživatele?

Historicky ano. Únorová kampaň 2024 podle ThreatFabric explicitně zahrnovala Českou republiku mezi cílové země. U novějších vln z let 2025 a 2026 veřejné zdroje konkrétní české bankovní aplikace nejmenují; ThreatLabz mluví obecně o stovkách cílených institucí globálně. To ale neznamená, že české banky v seznamu nejsou – interní seznam cílů není veřejně dostupný.

V době naší rešerše jsme nenašli samostatné veřejné varování NÚKIB přímo k Anatsa. To nevylučuje interní monitoring ani obecná bezpečnostní doporučení, která české banky svým klientům pravidelně zasílají.

Jak se chránit a co dělat, pokud máte podezření

Pokud jste v posledních dvou letech nainstalovali generickou PDF nebo čtečku dokumentů z Google Play, stojí za to si telefon zkontrolovat. Varovné signály před instalací i po ní:

• Aplikace s názvem typu „Reader“ nebo „Viewer“ od neznámého vývojáře, bez historie nebo ověřitelné značky.
• Požadavek na Accessibility Services, přístup k SMS nebo oprávnění REQUEST_INSTALL_PACKAGES; u čtečky dokumentů nemá žádné z nich co dělat.
• Upozornění od Play Protect; Google uvádí, že dokáže varovat i u aplikací, které už byly z obchodu odstraněny, a nabídnout jejich odinstalaci.

Pokud máte podezření, že jste některou z těchto aplikací měli nainstalovanou, postup je jednoznačný: okamžitě odinstalovat, spustit Play Protect, nepřihlašovat se do banky z podezřelého telefonu a změnit bankovní heslo z jiného, čistého zařízení. Při podezření na transakce kontaktujte banku.

Anatsa ukazuje jednu nepříjemnou pravdu o mobilní bezpečnosti: největší slepé místo nevzniká u podezřelých aplikací, ale u těch nejnudnějších utilit, kterým důvěřujeme právě proto, že vypadají nevinně.