Obyčejná svítilna v telefonu se mění v trojského koně. Obejde většinu antivirů a vysaje bankovní účet

Trojanová verze open-source aplikace Lumolight kryje vícefázový malware, který podle bezpečnostních analytiků zachytí jen 1–3 antiviry z desítek.

Zdroj fotografie: Pexels

Představte si, že vám někdo pošle odkaz na aplikaci svítilny. Vypadá důvěryhodně, stejný název, stejná ikona, stejný popis jako projekt, který najdete na GitHubu i na F-Droidu. Jenže uvnitř balíčku je něco navíc: šifrovaný kód, který se rozbaluje po vrstvách jako matrjoška, až nakonec převezme kontrolu nad celým telefonem. Přesně takhle funguje framework MiningDropper, který v dubnu 2025 podrobně popsal tým Cyble Research and Intelligence Labs. A „vysátí bankovního účtu“ v jeho případě není nadsázka, ale jedna z reálně popsaných funkcí finálního payloadu.

Proč zrovna svítilna a proč zrovna aplikace Lumolight

Lumolight: Screen & Flashlight je legitimní open-source projekt. Zdrojový kód je dostupný na GitHubu, aplikaci distribuuje F-Droid i Google Play a vývojář vystupuje pod jménem BitMavrick. Oprávnění, která si žádá, odpovídají účelu: přístup k blesku, vibracím a úpravě jasu. Na první pohled nic podezřelého.

Právě to z ní dělá ideální masku. Útočníci vzali veřejně dostupný kód, přebalili ho do vlastního APK a doplnili škodlivé vrstvy. Výsledek vypadá jako Lumolight, chová se jako Lumolight a navíc tiše spouští infekční řetězec. Pro uživatele, který aplikaci stáhne z odkazu v chatu nebo na sociální síti, je rozdíl neviditelný. Důležité upřesnění: problém není v oficiálním listingu na Google Play ani v samotném open-source projektu. Veřejně popsaná kampaň probíhá přes phishingové weby, podvodné stránky a odkazy na sociálních sítích, tedy mimo důvěryhodné obchody.

Jak se z nevinné utility stane trojský kůň

MiningDropper není obyčejný dropper s jednou funkcí. Cyble ho označuje za „malware-as-a-framework“, modulární systém, který umí doručit kryptominer, infostealer, RAT i bankovní trojan. Záleží na konfiguraci, kterou útočník zvolí.

Technický řetězec probíhá v několika fázích:

• Nativní knihovna – po spuštění aplikace se aktivuje soubor librequisitionerastomous.so, který obsahuje XOR-obfuskované řetězce a slouží jako bootstrapper.
• Dešifrování prvního payloadu – nativní kód rozbalí zašifrovaný asset do prvního DEX souboru.
• Falešná aktualizace – druhá fáze zobrazí obrazovku imitující aktualizaci Google Play. Uživatel vidí progress bar a čeká. Mezitím se na pozadí AES dešifrují další vrstvy.
• Dynamické načtení finálního malwaru – přes DexClassLoader se složí a spustí konečný payload. V analyzovaném vzorku šlo o BTMOB RAT.

Celý proces navíc obsahuje anti-emulační kontroly. Malware ověřuje platformní detaily, architekturu a model zařízení. Pokud vyhodnotí, že běží v emulátoru bezpečnostního analytika nebo na rootnutém zařízení, škodlivé vykonávání ukončí. Analytik tak vidí jen neškodnou svítilnu.

Proč to projde většinou antivirů

Čísla z výzkumu Cyble mluví jasně. Za jediný měsíc zachytili přes 1 500 vzorků MiningDropperu. Více než polovina z nich vykazovala minimální detekci antivirovými enginy. Největší shluk (zhruba 668 vzorků) zaznamenal pouhé 3 detekce. U varianty BTMOB RAT doručované přes MiningDropper klesla detekce až na 1–3 enginy z desítek dostupných.

Důvod je v architektuře. Statická analýza vidí jen nativní knihovnu a šifrované objekty. Škodlivý kód neexistuje jako celek, dokud ho zařízení samo nerozbalí za běhu. Sandboxy často nedostanou šanci projít celý řetězec, protože anti-emulace ho zastaví dřív. A split-APK rekonstrukce finálního balíčku znamená, že ani dynamická analýza nemusí zachytit kompletní obraz.

Původní BTMOB RAT přitom byl podle Cyble distribuován bez packeru a antiviry ho zachytávaly výrazně lépe. Teprve integrace do MiningDropperu z něj udělala téměř neviditelný nástroj.

Co přesně umí finální malware s bankovním účtem

BTMOB RAT po úspěšném nasazení disponuje arzenálem, který jde daleko za pouhé „čtení dat“. Podle analýzy Cyble i navazujícího výzkumu Kaspersky zahrnují jeho schopnosti:

• WebView injekce – podvržení přihlašovací stránky banky přímo v zařízení
• Keylogging – záznam každého stisku klávesy včetně hesel a PIN kódů
• Čtení obrazovky přes Accessibility Services – zachycení OTP kódů a 2FA potvrzení
• Simulace kliknutí a gest – útočník může potvrdit platbu, aniž by oběť cokoliv tušila
• Vzdálené ovládání přes WebSocket – plná kontrola nad zařízením v reálném čase
• Odemykání telefonu – přístup i k zamčenému zařízení

Příbuzná větev BeatBanker, kterou popsal Kaspersky, navíc uměla překrýt rozhraní kryptoburzy Binance a peněženky Trust Wallet a podvrhnout cílovou USDT adresu; peníze tak odcházely rovnou útočníkovi. Vedlejší monetizace přes kryptomining vysvětluje, proč se infikovaný telefon může přehřívat a rychle vybíjet, i když uživatel žádnou náročnou aplikaci nespustil.

Česká republika není ve veřejných reportech jmenována jako potvrzený trh s oběťmi. Kampaň ale cílí na Evropu, Latinskou Ameriku i Asii a schopnosti BTMOB nejsou omezeny na konkrétní seznam bank; po získání Accessibility a vzdálené kontroly představuje riziko pro jakoukoli finanční aplikaci v telefonu.

Jak se bránit a co dělat, když máte podezření

Systémová svítilna vašeho telefonu je v pořádku. Mazat každou aplikaci s ikonou baterky není na místě. Klíčové je, odkud aplikaci máte a co si žádá.

Varovné signály při instalaci:

• APK přišla z odkazu v SMS, chatu nebo na sociální síti, ne z oficiálního obchodu
• Aplikace žádá Accessibility, overlay nebo povolení instalace z neznámých zdrojů
• Po spuštění se objeví obrazovka „aktualizace Google Play“

Praktická kontrola telefonu:

• Spusťte Play Protect, skenuje aplikace z Play i mimo něj
• Otevřete Privacy Dashboard v nastavení a zkontrolujte, které aplikace přistupovaly k citlivým oprávněním
• Android 13 a novější blokuje sideloadovaným aplikacím přístup k citlivým nastavením, dokud ho ručně nepovolíte; pokud vás k tomu aplikace navádí, je to varovný signál

Pokud máte podezření na infekci:

• Aplikaci znovu neotvírejte a spusťte sken Play Protect
• Odinstalujte podezřelou aplikaci; pokud to nejde, restartujte zařízení do safe mode
• Odeberte Accessibility a overlay oprávnění všem neznámým aplikacím
• Z jiného zařízení změňte hesla ke Google účtu a bankovnictví
• Kontaktujte banku a zkontrolujte poslední transakce

Celá kampaň stojí na jediném předpokladu: že uživatel sám obejde bezpečnostní brzdy systému a povolí to, co by povolit neměl. MiningDropper je sofistikovaný framework s obchodním modelem; licence na BTMOB RAT stojí kolem 125 000 Kč jednorázově plus zhruba 7 500 Kč měsíčně za aktualizace. Ale i ten nejdražší nástroj potřebuje, aby mu oběť otevřela dveře.