Nebezpečný Android virus se tváří jako běžná aplikace, ale postupně převezme celý telefon

Vypadá jako svítilna. Chová se jako svítilna. Jenže po instalaci spustí řetězec, na jehož konci útočník vidí vaši obrazovku, čte hesla a ovládá telefon na dálku.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Bezpečnostní analytici z Cyble Research and Intelligence Labs (CRIL) v polovině dubna 2026 zveřejnili rozbor frameworku, který pojmenovali MiningDropper. Za poslední měsíc napočítali přes 1 500 vzorků a víc než polovina z nich měla minimální detekci antiviry. Nejde přitom o jednu škodlivou aplikaci, ale o modulární doručovací platformu – útočníci mohou jedním kliknutím přepnout, jestli oběti podstrčí těžbu kryptoměn, vzdálený přístup, nebo nástroj na krádež bankovních přihlašovacích údajů. Právě ta bankovní rovina je nejnebezpečnější.

Svítilna, která otevře dveře útočníkovi

Vstupní návnadou aktuální kampaně je trojanizovaná verze LumoLight, open-source aplikace na svícení, která má legitimní verzi na GitHubu i v Google Play. Útočníci vzali její kód, přibalili šifrované moduly a začali podvrženou APK šířit přes SMS, sociální sítě a phishingové weby napodobující obchod Google Play. Kdo si ji stáhne mimo oficiální obchod, netuší, že právě spustil první fázi infekce.

Řetězec vypadá takto:

• Trojanizovaná aplikace se nainstaluje a na první pohled funguje normálně – svítí blesk, nic podezřelého.
• Šifrované fáze se dešifrují na pozadí. Klíčové moduly jsou ukryté v nativních knihovnách a načítají se dynamicky, takže je statická analýza antivirů nevidí.
• Falešná aktualizace Google Play – aplikace zobrazí obrazovku, která vypadá jako standardní aktualizace od Googlu. Uživatel potvrdí, čímž nevědomky povolí instalaci dalšího balíku.
• Finální payload se složí z šifrovaných splitů a aktivuje. V analyzovaném vzorku jím byl BTMOB RAT.

Celý proces rozkládá oprávnění do více kroků. Aplikace nepůsobí agresivně hned při prvním spuštění – požadavky na citlivá nastavení přicházejí postupně, což snižuje podezření.

Co přesně znamená „převzetí telefonu“

Když se řekne, že malware „převezme celý telefon“, zní to jako klišé. V případě BTMOB RAT, který Cyble podrobně rozebral už v únoru 2025, je to ale přesný popis. Útočník získá přes zneužití služby Accessibility a vzdálené příkazy schopnosti, které se blíží plnohodnotnému vzdálenému ovládání:

• Odemykání zařízení – malware rozpozná typ zámku (PIN, vzor, heslo) a dokáže ho obejít.
• Živý přenos obrazovky – útočník vidí v reálném čase, co děláte.
• Simulace dotyků a gest – může za vás klikat, posouvat, vyplňovat pole.
• Keylogging a WebView injekce – zachytává stisknuté klávesy a dokáže do webových zobrazení vložit falešné přihlašovací formuláře.
• Přístup k souborům, kameře, mikrofonu a GPS – telefon se mění v odposlouchávací zařízení.
• Černý overlay – přes obrazovku položí černou vrstvu, takže uživatel nevidí, co se na pozadí děje.

Pro bankovní aplikace to znamená konkrétní hrozbu. BTMOB umí zachytit přihlašovací údaje přes keylogging i přes podvržené formuláře, pořizovat snímky obrazovky platebních stránek a vzdáleně ovládat zařízení v momentě, kdy je uživatel přihlášený. Kaspersky v příbuzné kampani, kterou sledoval pod názvem BeatBanker, navíc doložil explicitní bankovní modul, který měnil kryptoměnové adresy v aplikacích Binance a Trust Wallet. Novější vzorky už místo tohoto modulu nasazují právě BTMOB RAT – univerzálnější nástroj, který útočníkům dává širší pole působnosti.

Proč antiviry selhávají

Největší cluster vzorků – 668 souborů – měl podle CRIL pouhé tři detekce napříč antivirovými enginy. Číslo, které by mělo znepokojit každého, kdo se spoléhá výhradně na bezpečnostní software.

Důvody jsou technické a promyšlené. Klíčové části kódu jsou šifrované algoritmem AES, další jsou obfuskované pomocí XOR v nativních knihovnách. Malware načítá moduly dynamicky za běhu – antivirový skener, který analyzuje soubor před instalací, vidí jen neškodnou obálku. Navíc MiningDropper obsahuje anti-emulační kontroly: pokud detekuje, že běží v sandboxu nebo na rootovaném zařízení výzkumníka, sám se ukončí. Kaspersky u příbuzných vzorků popsal i techniku InMemoryDexClassLoader, kdy se škodlivý kód načte přímo do paměti bez zápisu na disk.

Výsledek? Rychlé šíření a nízká viditelnost. Přesně ta kombinace, která dělá z MiningDropperu nebezpečnější hrozbu než běžný jednorázový malware. Nejde o fixní bankovní trojan s jednou funkcí – je to přepínatelná platforma. Útočník zachová stejný loader, změní konfigurační soubor a šifrované assety, a místo RAT doručí stealer, místo stealeru banker, místo bankeru miner. Bez přestavby celého řetězce.

Jak se chránit a co dělat při podezření

Hrozba se podle Cyble týká i Evropy, byť české oběti nejsou v primárním výzkumu výslovně potvrzené a ve zveřejněných vzorcích figurují hlavně zahraniční značky. To ale neznamená, že se českých uživatelů netýká – stačí kliknout na podvržený odkaz.

Varovné signály, které byste neměli ignorovat:

• Instalace APK mimo Google Play – z odkazu v SMS, na sociální síti nebo z webu, který jen napodobuje Play Store.
• Požadavek na „Instalace z neznámých zdrojů“ nebo „Povolit omezená nastavení“ bez jasného důvodu.
• Aktualizační obrazovka uvnitř aplikace – skutečné aktualizace probíhají výhradně přes Play Store, ne přes vlastní update prompt náhodně stažené aplikace.
• Neobvyklé zahřívání a zpomalení – může signalizovat těžební modul běžící na pozadí.

Pokud máte podezření, že je telefon infikovaný a používáte v něm bankovní aplikaci, jednejte rychle:

• Okamžitě se z telefonu nepřihlašujte do banky ani jiných citlivých účtů.
• Z jiného čistého zařízení kontaktujte banku přes oficiální kanál – ne přes číslo nebo odkaz, který přišel s podezřelou zprávou.
• Spusťte Google Play Protect a zkuste izolovat problém přes nouzový režim s postupným odinstalováním posledních stažených aplikací.
• Při potvrzené infekci zvažte tovární reset – britské Národní centrum kybernetické bezpečnosti ho označuje za nejbezpečnější řešení pro kompromitovaný telefon.

Největší poučení z MiningDropperu není „nestahujte svítilny“. Je to fakt, že stejná vstupní aplikace může příště nést úplně jiný finální malware – a infekční řetězec zůstane identický. Jediná spolehlivá obrana je nepustit ho dovnitř.