„Šmejd“ bez znalostí ovládne Android na dálku a dostane se do bankovnictví. Může si pronajmout útočný malware
Bankovní útok na Android si dnes může předplatit kdokoli, stačí Telegram a pár kliknutí. Bezpečnostní firma odhalila platformu, která z toho dělá službu.
Obsah článku
Výzkumníci ze Zimperium zLabs 7. července 2026 zveřejnili analýzu platformy nazvané RedWing. Nejde o klasický virus, který si musí útočník sám naprogramovat. Je to hotový produkt, malware jako služba (Malware-as-a-Service). Člověk bez jakýchkoli programátorských znalostí si přes bota v Telegramu vygeneruje škodlivou aplikaci pro Android, získá přístup k ovládacímu panelu, falešným instalačním stránkám i dokumentaci s návody. Pak už jen čeká, až oběť aplikaci nainstaluje. V tu chvíli získá vzdálený přístup k telefonu, vidí obrazovku v reálném čase, ovládá ji a (to je klíčové) může se dostat k mobilnímu bankovnictví. Celý útok je zabalený do předplatitelského modelu s různými tarify a dokonce provizním programem, jako by šlo o běžný SaaS produkt.
Pronájem útoku: Telegram, bot a hotový balík
Slovo „pronájem“ tu není nadsázka. RedWing funguje jako komerční služba distribuovaná přes Telegram. Útočník, nebo přesněji zákazník, si přes bota nechá vygenerovat upravenou škodlivou aplikaci ve formátu APK. Může si přizpůsobit název, ikonu i texty, které se oběti zobrazí při instalaci. K dispozici má šablony falešných obchodů s aplikacemi, které věrně napodobují Google Play, Samsung Galaxy Store, Huawei AppGallery nebo dokonce ruský RuStore.
Součástí balíku je administrátorský panel pro správu obětí, přehled napadených zařízení a možnost měnit seznam cílových aplikací bez nutnosti šířit novou verzi malwaru. Zimperium výslovně uvádí, že vstupní bariéra pro nové uživatele je nízká. Vývojář RedWingu přesunul veškerou technickou složitost na svou stranu. Zákazník pouze obsluhuje rozhraní.
Kolik přesně předplatné stojí, veřejná verze výzkumu neuvádí. Starší varianta stejného malwaru, Oblivion, kterou v únoru 2026 popsala firma Certo, se prodávala zhruba za 7 500 Kč. RedWing nabízí více tarifů a provizní schéma, takže reálná cena se může lišit. Podstatné je něco jiného: za částku srovnatelnou s cenou levnějšího telefonu si kdokoli může pořídit kompletní nástroj pro bankovní podvody.
Jak RedWing převezme telefon krok za krokem
Řetězec útoku začíná phishingem. Oběť dostane odkaz, například v SMS, chatovací aplikaci nebo na sociální síti, a ten ji přesměruje na falešnou stránku, která vypadá jako obchod s aplikacemi. Stránka nabízí ke stažení APK soubor, tedy instalační balík mimo oficiální obchod.
Po instalaci přichází klíčová fáze: onboarding. Aplikace postupně žádá o oprávnění, která jí otevřou dveře k celému telefonu:
- Vypnutí optimalizace baterie – zajistí, že systém aplikaci neuspí na pozadí.
- Nastavení jako výchozí SMS aplikace – umožní číst i odesílat textové zprávy včetně jednorázových kódů z banky.
- Přístup k notifikacím – zachytává push oznámení, tedy i potvrzovací zprávy.
- Usnadnění přístupu (Accessibility) – tohle je jádro útoku. Google sám upozorňuje, že tato funkce umožňuje aplikaci číst obsah obrazovky a jednat jménem uživatele. RedWing přes ni kliká, posouvá, píše text a zobrazuje falešné překryvné obrazovky.
Jakmile oběť oprávnění udělí, útočník vidí obrazovku telefonu v reálném čase prostřednictvím funkce podobné VNC. Může spouštět aplikace, pořizovat snímky obrazovky, zaznamenávat stisky kláves, zjistit polohu zařízení, procházet soubory a galerii, zapnout kameru i mikrofon. Ikona aplikace mezitím zmizí. Oběť nevidí nic podezřelého, maximálně falešnou „aktualizační“ obrazovku, za kterou útočník pracuje.
Cesta do bankovnictví: překryvné obrazovky, SMS kódy a přesměrované hovory
RedWing se nedostává do mobilního bankovnictví prolomením šifrování. Využívá jinou cestu, kombinaci sociálního inženýrství a zneužitých oprávnění.
Když oběť otevře bankovní aplikaci, RedWing přes ni zobrazí falešnou přihlašovací obrazovku, takzvaný overlay. Vypadá jako legitimní přihlášení, ale zadané údaje putují útočníkovi. Keylogger současně zachytává PIN, heslo nebo číslo karty. Zimperium uvádí, že platforma cílí na 82 finančních institucí.
Dvoufaktorové ověření, které banky považují za bezpečnostní standard, RedWing obchází hned několika způsoby:
- Jako výchozí SMS aplikace čte jednorázové kódy dříve, než je oběť uvidí.
- Přes regulární výrazy a funkci usnadnění přístupu vyhledává jednorázové kódy a PIN přímo na obrazovce.
- Přes USSD kód 21 skrytě přesměruje příchozí hovory na číslo útočníka, čímž může obejít hlasové ověření nebo potvrzovací hovor z banky.
- Při živém ovládání obrazovky může v reálném čase zachytit i samotný proces potvrzení transakce.
A to není všechno. Zimperium RedWingu připisuje i DDoS modul, tedy schopnost proměnit napadené telefony v botnet. Nejde o jednorázový phishingový trik. Je to plnohodnotná zločinecká platforma.
Proč by to mělo zajímat i české uživatele
Ve veřejně dostupné verzi výzkumu nejsou české banky mezi potvrzenými cíli uvedeny; Zimperium zmiňuje především zaměření na ruské finanční instituce. Jenže seznam cílových aplikací lze z administrátorského panelu změnit bez distribuce nové verze malwaru. Technicky nic nebrání tomu, aby někdo přidal české bankovní aplikace.
Že česká lokalizace podobných kampaní je realistická, ukazuje i domácí historie. Už v roce 2017 CSIRT.cz zachytil phishingové SMS cílené na české uživatele Androidu, které odkazovaly na stažení škodlivého APK. RedWing navíc umí generovat lokalizované instalační stránky; přidání češtiny je pro takový model technicky jednoduché.
Jak se bránit: konkrétní kroky, ne obecné rady
Nejúčinnější obrana spočívá v tom, nepustit RedWing do telefonu. To znamená hlídat dvě věci: odkud instalujete aplikace a jaká oprávnění jim dáváte.
- Neinstalujte APK z odkazů. Google výslovně varuje, že instalace z neznámých zdrojů může ohrozit zařízení i osobní data. Stahujte aplikace výhradně z Google Play.
- Nechte zapnutý Play Protect. Skenuje aplikace a umí zablokovat neověřené instalace s citlivými oprávněními. Najdete ho v Google Play → profil → Play Protect.
- Buďte podezřívaví k žádostem o usnadnění přístupu, překryvné obrazovky a nastavení výchozí SMS aplikace. Pokud vás o to žádá aplikace, kterou jste právě stáhli z odkazu, je to silný varovný signál.
- Kontrolujte Privacy Dashboard. V Nastavení → Soukromí → Privacy Dashboard uvidíte, které aplikace přistupovaly k SMS, mikrofonu, kameře nebo notifikacím a kdy. Neočekávaný přístup je důvod jednat.
- U podezřelé aplikace okamžitě zakažte oprávnění nebo ji odinstalujte. V Nastavení → Aplikace → konkrétní aplikace → Oprávnění můžete přístupy odebrat.
Skutečný průlom RedWingu nespočívá v jedné nové technice. Překryvné obrazovky, keylogging, zneužití funkce usnadnění přístupu – to všechno existovalo už dříve. Nové je, že z toho někdo udělal produkt s dokumentací, podporou a předplatným. A právě to z něj dělá hrozbu, která se může škálovat rychleji než kdykoli předtím.