800 aplikací v ohrožení: falešná přihlašovací obrazovka překryje mobilní bankovnictví a vy nic nepoznáte

Čtyři nové rodiny Android malwaru dokážou v reálném čase vykreslit falešné přihlášení přes vaši bankovní appku. Stačí jedno špatné kliknutí.

Zdroj fotografie: Unsplash

Představte si, že otevřete mobilní bankovnictví jako každé ráno. Ikona sedí, barvy sedí, pole pro jméno a heslo vypadají přesně tak, jak je znáte. Jenže to, co vidíte, není vaše banka, ale průhledná vrstva nakreslená malwarem přes originální aplikaci, a každý znak, který napíše, dá rovnou útočníkovi. Přesně takhle fungují čtyři aktivní kampaně, které bezpečnostní firma Zimperium popsala v dubnu 2026 : RecruitRat, SaferRat, Astrinox a Massiv. Dohromady cílů na více než 800 bankovních, kryptoměnových a sociálních aplikací. A nejslabším článkem není žádná z nich, jste to vy.

Jak se malware dostane do telefonu

Žádné vzdálené napadení, žádná tajemná zranitelnost systému. Vstupní branou je vždy sociální inženýrství, a je krásné. RecruitRat láká oběti přes falešné pracovní portály: uchazeč vyplní formulář, dostane odkaz na „firemní aplikaci“ a stáhne APK mimo Google Play. SaferRat slibuje prémiový streaming zdarma. Astrinox provozuje phishingovou doménu, která na Androidu nabízí APK a na iPhonu napodobuje Apple App Store, aby fungovala důvěryhodně. Massiv se maskuje jako IPTV aplikace distribuovaná přes kanály na Telegramu a weby, kde je stahování mimo oficiální obchod běžnou praxí.

Společný jmenovatel: pocit naléhavosti, výhody nebo legitimního procesu. Google ve své bezpečnostní zprávě za rok 2024 uvádí, že více než 95 % instalací finančně motivovaných malwarových rodin pocházelo z internetových sideloadingových zdrojů, tedy z prohlížeče, messengeru nebo správce souborů. Ne z Obchod Play.

Překrytí útok krok za krokem

Jakmile je falešná aplikace v telefonu, o přístup k Accessibility Service, funkce Androidu původně určená pro uživatele se zdravotním postižením. Tím získám klíč ke všemu.

Malware od té chvíle sleduje, jaká aplikace běží v popředí. Ve chvíli, kdy oběť spustí cílovou bankovní aplikaci, vykreslí přes ani celoobrazovkovou vrstvu, HTML stránku nebo WebView, která vizuálně kopíruje rozhraní. U RecruitRat se podvodné HTML stahuje jako archiv a ukládá lokálně; SaferRat naopak načítá vzdálené phishingové endpointy v reálném čase. Uživatel zadá jméno, heslo, někdy i údaje o kartě. Všechno odchází útočníkovi.

A pak přijde OTP kód. Malware ho zachytí hned několika cestami najednou:

• čtením příchozích SMS,
• monitorováním notifikací,
• keyloggingem přes Accessibility,
• snímání obrazovky přes MediaProjection.

Když OTP nepřečte z SMS, uvidí ho v notifikační liště nebo přímo na displeji. Redundance je záměrná.

U rodin Astrinox a Massiv jde útok ještě dál. Přes celou obrazovku se zobrazí neprůhledná vrstva s nápisem „Android Update“ a pod ní malware provádí kliky a gesta, jako by telefon ovládal sám uživatel. Massiv dokonce využívá strukturovaný režim „UI-tree“, který umožňuje dálkové ovládání i tam, kde pouhý snímek obrazovky nestačí. ThreatFabric ve svém rozboru z února 2026 popsal případy, kdy útočníci na jméno oběti zakládali nové bankovní účty a služby sloužící k praní peněz. Nejde tedy jen o krádež hesla, jde o plné převzetí zařízení a zneužití identity.

Proč oběť nic neznámá

Starší bankovní trojany jako BankBot nebo Anubis uměly overlay a blokování SMS už před lety. Nová generace ale přidala vrstvy stealth technik, které detekci dramaticky ztěžují:

• Skrytá ikona – po instalaci se ikona v launcheru nahradí průhledným obrázkem, appka zmizí z očí.
• Blokace odinstalace – SaferRat přesměruje uživatele pryč z obrazovky odinstalace, kdykoli se pokusí appku smazat.
• Vícefázový kapátko – samotný škodlivý kód se stáhne až po instalaci nevinně vypadající „obálky“, takže první sken nic nezachytí.
• Detekce prostředí – Massiv kontroluje, zda zařízení nemá root nebo nainstalovaný antivirový nástroj; pokud ano, může činnost ukončit a zůstat v tichém režimu.

Načasování overlaye v přesný okamžik spuštění legitimní aplikace, vizuální věrnost phishingové vrstvy a překrytí systémových dialogů při udělování oprávnění dohromady tvoří iluzi, kterou běžný uživatel nemá šanci zobrazit.

Co to znamená pro českého uživatele

Zimperium nepublikuje kompletní seznam všech 800 a více cílených aplikací, veřejně uvádí souhrnné počty a reprezentativní ukázky overlayů. Konkrétně RecruitRat cílí na více než 700 aplikací, Massiv na 78 bankovních a krypto peněženek. Jmenovitě české banky, Česká spořitelna, ČSOB, Raiffeisenbank, v publikovaném materiálu nejsou uvedeny. Bez plného je ale nelze zodpovědně ani vyloučit.

Ve čtvrtletním přehledu hrozeb NÚKIB za první čtvrtletí 2026 tyto čtyři rodiny explicitně nefigurují. Veřejné potvrzení konkrétní infekce v Česku k polovině května 2026 jsme nedohledali. To ale neznamená bezpečí, znamená to absence veřejného záznamu.

Důležitý je i právní rozměr. Česká národní banka, že pokud transakci předcházelo silné ověření a klient ji potvrdil, být nevědomky přes ztrátu vrstvy, může unést podvod, který subjektivně považuje za neautorizovanou. Automatický nárok na vrácení peněz neexistuje.

Jak se bránit a podle čeho poznat problém

Android 17. dubna 2026 oznámila nová systémová varování zaměřená přímo na appky zneužívající přístupnost overlaye nebo skrývající ikonu. Platforma tedy dohání konkrétní triky, které výzkumníci právě popsali. Než se ale ochrana dostane ke všem zařízením, nejúčinnější štít je chování:

• Nainstalujte výhradně z Google Play a nechte zapnutý Play Protect, který skenuje i sideloadované appky.
• Nepovolujte Accessibility Service žádnou aplikaci, u které přesně nevíte, proč ji potřebuje.
• varovné signály: appka po spuštění žádá netypická oprávnění, objeví se celoobrazovková „aktualizace systému“, přihlášení požaduje údaje o kartě nebo PIN k zařízení, tlačítko Zpět nereaguje.
• Zkontrolujte Nastavení → Aplikace → Oprávnění: hledejte neznámou aplikaci s kombinací přístupnosti, SMS a notifikací.
• Při podezření na infekci: odinstalujte podezřelou appku, změňte heslo do bankovnictví a při stejných příznacích proveďte tovární reset.

Nejsofistikovanější část celého útoku není kód, je to moment, kdy člověk pod příslibem práce, zábavy nebo aktualizace sám otevře dveře.