Falešné aplikace Chrome a TikTok ve velkém vykrádají bankovní účet. Dvoufázové ověření nepomůže, obejdou ho

Nový malware pro Android cílí na 217 bankovních a kryptoměnových aplikací. Stačí jedno stažení mimo oficiální obchod.

Zdroj fotografie: Pexels

Vypadá to jako Chrome. Nebo jako TikTok. Ikona sedí, název sedí a když aplikaci otevřete, chvíli se tváří, že se aktualizuje přes Google Play Protect. Jenže to není Chrome, není to TikTok a rozhodně to není Play Protect. Je to Rokarolla, bankovní malware, který bezpečnostní firma Zimperium veřejně popsala 16. června 2026 a který dokáže převzít telefon natolik důkladně, že ani ověřovací SMS z banky vás nezachrání. Kód si totiž přečte dřív než vy.

Jak útok probíhá krok za krokem

Celý řetězec začíná nenápadně. Oběť narazí na odkaz na podvrženém webu, v neoficiálním obchodě s aplikacemi nebo na sociální síti a stáhne si APK soubor vydávající se za Chrome či TikTok. Po instalaci se aplikace zamaskuje jako Google Play Protect a zobrazí falešnou aktualizační obrazovku. Mezitím na pozadí stahuje druhý stupeň útoku: samotné jádro Rokarolly.

Pak přijdou žádosti o oprávnění. Přístupnost (Accessibility), SMS, notifikace, hovory. Každé z nich zní technicky, každé vypadá jako běžný systémový požadavek. Jakmile uživatel vše odsouhlasí, malware porovná seznam nainstalovaných aplikací se svou databází 217 cílů – bankovních aplikací i kryptoměnových peněženek. Pro každou nalezenou shodu stáhne odpovídající HTML phishingový formulář. A čeká.

Ve chvíli, kdy oběť otevře svou bankovní aplikaci, Rokarolla přes ni překryje falešné přihlašovací okno. Uživatel zadá jméno, heslo, číslo karty a vše putuje rovnou útočníkům. Celý mechanismus popsal Zimperium v technickém reportu, který dokumentuje 137 vzdálených příkazů, jimiž lze telefon ovládat.

Dvoufázové ověření bohužel nepomůže

Tady je klíčový bod. Rokarolla nekrade jen heslo. Krade všechno, co se na kompromitovaném telefonu děje. Řetězec obcházení druhého faktoru vypadá takto:

• SMS kód: Malware má oprávnění ke čtení SMS, může se dokonce nastavit jako výchozí SMS aplikace. Ověřovací kód z banky přečte a přepošle útočníkovi dřív, než si ho oběť stihne všimnout.
• Notifikace: Pokud banka posílá kód jako push notifikaci místo SMS, Rokarolla ho zachytí přes přístup k notifikacím.
• Ruční opis kódu: I kdyby uživatel kód opisoval ručně, malware ho zachytí keyloggerem nebo čtením obsahu obrazovky přes Accessibility.
• Telefonát z banky: Když banka zavolá kvůli podezřelé transakci, malware umí příchozí hovor odmítnout. Oběť se o pokusu o kontakt ani nedozví.

Nejde tedy o selhání samotného principu dvoufázového ověření. Jde o to, že obě fáze – heslo i potvrzovací kód – probíhají na stejném kompromitovaném zařízení. Český NÚKIB na tento problém upozorňoval už v minulosti u malwaru QRecorder: jakmile útočník ovládne telefon, na kterém přijímáte potvrzovací kódy, druhý faktor přestává být druhým faktorem.

Není známo, kolik útoků proběhlo, ale málo to nebude

Veřejně známý počet obětí nebo vykradených účtů k 25. červnu 2026 neexistuje; Zimperium ani Google konkrétní počty nezveřejnily. Rozsah kampaně ale dokládají jiná čísla: 217 cílených finančních aplikací napříč bankami i kryptoměnovými peněženkami, 137 příkazů pro vzdálené ovládání zařízení a distribuce přes více kanálů současně. Rokarolla navíc umí manipulovat schránkou a měnit kopírované kryptoměnové adresy, takže krádeže se neomezují jen na klasické bankovní přihlášení.

Co se týče českých bank, ve veřejně dostupných ukázkách cílového seznamu figurují zahraniční instituce jako BBVA, imaginBank nebo Emirates NBD. České bankovní aplikace v těchto ukázkách vidět nejsou. To ale neznamená, že se českých uživatelů problém netýká. Stačí, aby si majitel Androidu stáhl falešný Chrome z podvrženého webu, a mechanismus infekce je identický bez ohledu na to, kterou bankovní aplikaci používá.

A český precedent existuje. V roce 2024 popsal ESET kampaň malwaru NGate, která cílila přímo na klienty tří českých bank a zneužívala NFC komunikaci telefonu ke krádežím. České banky včetně České spořitelny a Komerční banky před falešnými aplikacemi dlouhodobě varují.

Co vás skutečně ochrání

Google 18. června 2026 v reakci na zjištění Zimperium uvedl, že známé verze Rokarolly jsou automaticky detekovány službou Play Protect. To je důležitá informace, ale má háček. Celý útok je postavený na tom, že uživatel aplikaci nainstaluje mimo Google Play, sám povolí instalaci z neznámých zdrojů a sám odsouhlasí nebezpečná oprávnění. Rokarolla navíc obsahuje příkaz pro vypnutí Play Protect.

Obrana se proto musí posunout před samotnou instalaci:

• Nestahujte APK mimo Google Play. Žádný odkaz na sociální síti, žádný „alternativní obchod“, žádná „aktualizace“ přes webový prohlížeč.
• Nepovolujte instalaci z neznámých zdrojů. Android vás varuje z dobrého důvodu.
• Odmítejte Accessibility, SMS a hovory u aplikací, které je zjevně nepotřebují. Chrome ani TikTok tato oprávnění nevyžadují.
• Držte Play Protect zapnutý a pravidelně spouštějte sken.
• Kontrolujte nainstalované aplikace v Nastavení → Aplikace, ne jen ikony na ploše. Rokarolla umí svou ikonu skrýt.

Pokud máte podezření, že jste se už nakazili, první krok není čištění telefonu. První krok je zavolat do banky z jiného zařízení a zablokovat karty i přístupy. Teprve potom řešte telefon: sken, odinstalaci podezřelých aplikací a v krajním případě tovární reset.

Android versus iPhone: tentokrát jasný rozdíl

Pro tento konkrétní typ útoku je Android zranitelnější než iOS. Ne proto, že by šlo obecně o horší systém, ale proto, že celý model Rokarolly stojí na sideloadingu, tedy ruční instalaci aplikací mimo oficiální obchod, a na zneužití systémových oprávnění, jako je Accessibility. Apple u iPhonu instalaci mimo App Store výrazně omezuje; v EU sice existuje alternativní distribuce aplikací, ale provází ji explicitní bezpečnostní varování. Apple ve své dokumentaci uvádí, že proces App Review činí masové útoky tohoto typu výrazně obtížnějšími a ekonomicky méně výhodnými.

To neznamená, že iPhone je imunní. Znamená to, že Rokarolla na něm nemá stejnou cestu k šíření jako na Androidu.

Rokarolla není první a nebude poslední malware, který promění telefon ve špionážní nástroj s přístupem k penězům. Jeho síla nespočívá jen v technickém provedení, ale hlavně v tom, že lidé stále klikají na odkazy, stahují aplikace z pochybných zdrojů a bezmyšlenkovitě potvrzují oprávnění, kterým nerozumí. Nejlepší antivirus je často ten okamžik, kdy řeknete ne.