Nový typ viru napadá Androidy a dělá z nich nástroj pro další kybernetické útoky

Nový malware krade z Androidu přihlašovací údaje a zároveň z něj dělá proxy server, přes který útočníci vedou vlastní operace.

Zdroj fotografie: Unsplash

Představte si, že vám někdo vykrade byt, a pak se v něm zabydlí, aby z vaší adresy rozesílal podvodné dopisy sousedům. Přesně tohle dělá Mirax s napadeným telefonem. Italská bezpečnostní firma Cleafy ho veřejně rozebrala 10. dubna 2026 a popsala malware, který kombinuje dvě věci, jež dosud fungovaly odděleně: plnohodnotný bankovní trojan s dálkovým ovládáním a rezidenční proxy uzel, který z telefonu oběti dělá odrazový můstek pro cizí útoky. Oběť přitom nemusí nic tušit, jak redakce Mobify zjistila, po instalaci se zobrazí falešná chybová stránka a malware tiše běží na pozadí.

Dvě vrstvy škody v jedné infekci

Klasické bankovní trojany pro Android fungují jednoduše: překryjí přihlašovací obrazovku bankovní aplikace falešným formulářem, zachytí heslo, případně přečtou SMS s ověřovacím kódem. Mirax tohle všechno umí, overlaye, keylogging, vzdálené ovládání displeje, sběr informací o zámku zařízení. Cleafy napočítalo 182 cílových aplikací, od španělských bank po kryptoměnové peněženky.

Jenže nad tím vším běží druhá vrstva. Mirax otevírá WebSocket tunel na portu 8445, nad ním staví SOCKS5 proxy s multiplexingem Yamux a telefon začne fungovat jako výstupní bod pro provoz útočníků. Když pak někdo z jejich sítě provádí password spraying, přebírá cizí účty nebo se zapojuje do DDoS, vypadá to, jako by provoz šel z obyčejné domácí IP adresy v Madridu, Lisabonu, nebo kdekoliv, kde sedí oběť. Žádné podezřelé datacentrum, žádná VPN. Rezidenční adresa, za kterou stojí reálný člověk s reálnou smlouvou u operátora.

Právě tohle považujeme za nejnebezpečnější aspekt Miraxu. Jedna úspěšná infekce nese dvě monetizační vrstvy: přímou krádež peněz a dlouhodobě využitelnou infrastrukturu. A co je horší, proxy komponenta vyžaduje méně oprávnění než plný RAT. I když uživatel odmítne udělit Accessibility, ale aplikaci nechá nainstalovanou, útočníci z ní pořád mohou těžit jako z proxy uzlu.

Jak se Mirax dostane do telefonu

Infekční řetězec není žádný zero-click exploit. Vyžaduje aktivní spolupráci uživatele, jenže je navržený tak, aby ji dostal.

1. Reklama na Facebooku nebo Instagramu – typicky nabídka bezplatného IPTV nebo sportovního streamu. Cleafy odhaduje dosah přes 200 000 Meta účtů, ale to neznamená 200 000 infekcí; jde o počet lidí, kteří reklamu viděli.
2. Phishingová stránka – po kliknutí se otevře web napodobující legitimní službu.
3. Stažení APK z GitHub Releases – dropper se tváří jako přehrávač videa, typicky s názvy jako „StreamTV“ nebo „Reproductor de video“.
4. Povolení instalace mimo Play Store – Android na to upozorní, ale uživatel lačný po bezplatném fotbalu klikne „Povolit“.
5. Požadavek na Accessibility Settings – klíčový moment, který malwaru otevře dveře k overlayím a vzdálenému ovládání.

Po instalaci se zobrazí falešná hláška o selhání. Uživatel mávne rukou. Mirax běží. Útočníci navíc mění hash vzorků každý den, přebalují APK, rotují podpisy, nové soubory přidávají do existujících GitHub Releases místo zakládání nových. Automatické skenery, které hledají známé hashe, tak nestíhají.

Proč by to mělo zajímat Čechy

Dosud zdokumentované kampaně cílily primárně na španělsky mluvící uživatele; v rozebrané kampani bylo jedinou cílovou zemí reklam Španělsko. V seznamu jazyků, které Mirax podporuje, najdeme polštinu, němčinu, francouzštinu i portugalštinu, ale ne češtinu. Veřejně potvrzené české případy neexistují.

To ale neznamená klid. Model „private MaaS“ (malware jako služba pro úzký okruh prověřených partnerů) je navržený pro expanzi. Stačí přidat české overlaye a přeložit phishingové stránky. A proxy funkce je jazykově neutrální, funguje všude, kde je Android a internetové připojení.

Pro české banky je podstatný jeden detail: rezidenční proxy oslabuje sílu IP a geolokačních signálů, tedy jednu z vrstev, na kterých stojí detekce podvodů. Komerční banka ve svých veřejných podmínkách uvádí, že při přihlášení vyhodnocuje údaje o zařízení, prohlížeči a spojení. Moderní antifraud systémy pracují i s behaviorálními odchylkami a device fingerprintingem, proxy tedy neprolomí celou obranu. Ale jednu její vrstvu spolehlivě degraduje.

Co zkontrolovat a co udělat hned

Pokud jste v posledních měsících instalovali cokoliv mimo Google Play, zvlášť aplikaci tvářící se jako přehrávač videa nebo IPTV služba, projděte si tři věci:

• Oprávnění aplikací: V Nastavení → Aplikace zkontrolujte, které aplikace mají přístup k Accessibility Services. Na Androidu 13+ se podívejte, zda nemá neznámá aplikace povolené „restricted settings“ – Google je výslovně označuje jako přístup k citlivým datům.
• Privacy dashboard: Zjistíte, které aplikace v posledních hodinách používaly citlivá oprávnění. Neznámá sideloadovaná aplikace s přístupem k SMS nebo k zobrazení přes jiné aplikace je varovný signál.
• Google Play Protect: Spusťte ruční sken. Play Protect kontroluje i aplikace stažené mimo obchod a dokáže je zablokovat nebo odstranit.

Pokud máte podezření na kompromitaci, Česká spořitelna doporučuje přepnout telefon do nouzového režimu, odinstalovat podezřelou aplikaci, provést tovární reset a změnit hesla. Hlavně: kontaktujte banku. A telefon neformátujte dřív, než si zajistíte data, Policie ČR výslovně zdůrazňuje význam elektronických dat jako důkazů při vyšetřování počítačové kriminality.

Soukromý klub s velkými ambicemi

Mirax není volně dostupný na undergroundových fórech. Cleafy ho popisuje jako „private MaaS“, tedy malware jako službu provozovanou pro malý okruh prověřených affiliate partnerů. Menší distribuce znamená menší riziko úniků, pomalejší odhalení a delší životnost kampaní. Je to obchodní model postavený na kvalitě, ne na kvantitě.

Propagace začala 19. prosince 2025, aktivní monitorování Cleafy běží od března 2026. Okno aktivity je zatím v řádu měsíců. Ale 182 cílových aplikací, denní rotace vzorků a infrastruktura schopná proměnit každý infikovaný telefon v proxy uzel ukazují na operaci, která teprve nabírá tempo.

Nejlepší obrana je stará a nudná: neinstalovat APK mimo Google Play, neskákat po reklamách slibujících bezplatný sportovní stream a ke každému požadavku na Accessibility přistupovat jako k žádosti o klíče od bytu. Protože přesně o to jde.