Nový „boží“ virus pro Android se vydává za běžné aplikace. Po instalaci převezme plnou kontrolu nad telefonem

Stačí jedno povolení – a útočník vidí vaši obrazovku, kliká za vás v bankovní aplikaci a čte jednorázové kódy dřív než vy sami.

Zdroj fotografie: Unsplash

Indické ministerstvo vnitra vydalo v březnu 2026 bezpečnostní varování k hrozbě, kterou tamní kybernetická jednotka NCTAU označila jako „Režim Android Boha“. Nejde o jednu konkrétní malwarovou rodinu s pevným jménem, ale o kategorii škodlivých aplikací, které zneužívají jednu z nejmocnějších systémových funkcí Androidu, takzvané Služby přístupu. Jakmile uživatel toto oprávnění neznámé aplikaci schválí, předá jí v podstatě digitální oči a ruce nad celým telefonem. Bez přístupu root, bez exploitu v jádře systému. Stačí jedno klepnutí na „Povolit“.

Převleky, které fungují

Malware se šíří převážně mimo Google Play, přes odkazy ve WhatsAppu, SMS zprávách nebo na podvodných webech. Převleky jsou voleny tak, aby vyvolaly pocit naléhavosti nebo důvěry:

• SBI YONO – falešná aplikace největší indické banky
• RTO Challan / eChallan – imitace systému dopravních pokut
• Digital Life Certificate – napodobenina vládní služby pro důchodce
• MParivahan – kopie oficiální dopravní aplikace
• Falešné nástroje zákaznické podpory

Podle advisory CERT-In ze 17. 3. 2026 probíhá infekce často ve dvou krocích: první aplikace se tváří nevinně a zobrazí tlačítko „Nainstalujte aktualizaci“, které teprve stáhne hlavní škodlivý payload. Ten už v přehledu aplikací nemusí mít ani ikonu.

Proč jedno povolení znamená totální kontrolu

Služby přístupu existují z dobrého důvodu, umožňují čtečkám obrazovky, hlasovému ovládání nebo nástrojům pro přepínačový přístup pracovat napříč celým systémem. Jenže přesně tatáž šíře je problém, když oprávnění získá útočník. Podle oficiální dokumentace API může přístupová služba:

• Číst veškerý text zobrazený na displeji
• Sledovat, která aplikace je právě aktivní
• Provádět gesta a klepnutí jako by je udělal uživatel
• Pořizovat snímky obrazovky

V praxi to znamená, že malware po získání tohoto jediného povolení sám prokliká další systémové dialogy a schválí si přístup k SMS, překryvným oknům i správci zařízení. Výzkumníci na konferenci Black Hat popsali tento princip už v roce 2017 pod názvem „Plášť a dýka“. Akademická studie z USENIX Security 2024 potvrzuje, že přístupový malware je dnes široce zneužívaným vektorem pro finanční podvody přímo na zařízení.

Google používání přístupových API reguluje a výslovně zakazuje autonomní vykonávání akcí nebo klamavou manipulaci rozhraní. U aplikací instalovaných mimo Obchod Play však tato pravidla nemohou zabrat dřív, než zasáhne Play Protect.

Co útočník reálně získá

Po aktivaci řetězce oprávnění může vzdálený operátor:

• Číst jednorázové kódy (OTP) z SMS i z notifikací
• Vyplňovat a potvrzovat převody v bankovních aplikacích
• Zobrazovat překryvná okna maskující skutečné dialogy
• Blokovat odinstalaci, aplikace se brání smazání
• Získat přístup ke kameře, mikrofonu a poloze
• V krajním případě zařízení zamknout nebo vymazat

Nejslabším článkem celého řetězce není žádná softwarová díra. Je to moment, kdy uživatel neznámé aplikaci sám schválí roli, která jí dává plnou moc nad rozhraním telefonu.

Jak zkontrolovat svůj telefon

Cesta k ověření je přímočará: Nastavení → Přístupnost (Accessibility) → Stažené aplikace (Downloaded apps). U každé služby uvidíte přepínač „Použít službu“. Pokud tam najdete cokoli, co jste vědomě neinstalovali nebo čemu nerozumíte, vypněte přepínač a aplikaci ihned odinstalujte.

Při podezření na infekci Google doporučuje tento postup:

• Odpojte telefon od internetu (Wi-Fi i mobilní data)
• Restartujte do nouzového režimu (Safe Mode), pokud problém zmizí, způsobuje ho stažená aplikace
• V nastavení Accessibility vypněte podezřelou službu
• Odinstalujte aplikaci: Play Store → profil → Správa aplikací → vybrat → Odinstalovat
• Zapněte Play Protect (Nastavení → Zabezpečení → Google Play Protect)

Varovné signály infekce: opakované žádosti o povolení Accessibility, aplikace bez ikony v seznamu, samovolná změna výchozího launcheru, neobvyklá aktivita SMS nebo nemožnost aplikaci smazat.

Hrozí to i v Česku?

Dosavadní kampaň cílí na indické uživatele, převleky kopírují tamní banky a vládní služby a šíření probíhá v kontextu indických institucí. Ve veřejně dostupných výstupech NÚKIB ani v čtvrtletním přehledu hrozeb za první čtvrtletí 2026 se tato konkrétní kampaň neobjevuje. To ale neznamená bezpečí. Technický princip je univerzální a adaptace na české reálie, například falešná aplikace České pošty, Portálu občana nebo bankovní identity, je otázkou lokalizace, ne vývoje.

Základní pravidlo zůstává prosté: neinstalujte soubory APK z odkazů v komunikátorech, mějte zapnutý Play Protect a žádné aplikaci neudělujte přístup ke Službám přístupu, pokud přesně nevíte, proč ho potřebuje. Tím jedním klepnutím na „Povolit“ totiž nepředáváte heslo, předáváte celý telefon.