Falešná aplikace na „zbohatnutí“ vysaje peníze z účtu i po smazání. Skrytý poplatek naskočí při nedokončené registraci

Podvodná aplikace „PKO Casino“ zneužívá značku polské banky, napodobuje Google Play a přesměrovává oběti do kasina s klauzulí o poplatku za neaktivitu.

Zdroj fotografie: Unsplash

Polská redaktorka portálu Android.com.pl si v dubnu 2026 všimla mezi notifikacemi v telefonu nabídky, která vypadala jako reklama na bankovní službu PKO Bank Polski. Klikla. Otevřela se stránka k nerozeznání od Google Play – se zeleným tlačítkem „Instalovat“, hvězdičkovým hodnocením i uživatelskými recenzemi. Jediný viditelný rozdíl? URL adresa. Za falešným obchodem se skrývalo přesměrování do prostředí online kasina Realz, které po uživateli žádalo doklady totožnosti, údaje platební karty a souhlas s pravidly obsahujícími klauzuli o cyklickém poplatku za neaktivitu. Smazání ikony z telefonu nic z toho nevrátí.

Čtyři vrstvy jednoho podvodu

Většina phishingových útoků pracuje s jedním trikem, falešným e-mailem nebo podvrženou přihlašovací stránkou. „PKO Casino“ skládá čtyři vrstvy na sebe:

• Zneužití bankovní značky – název a logo PKO Bank Polski budí důvěru, oběť neočekává hazard.
• Imitace Google Play – falešná instalační stránka s recenzemi a hodnocením vypadá jako legitimní obchod.
• Přesměrování do nelegálního kasina – po „instalaci“ se uživatel ocitne v prostředí Realz, které nemá licenci v žádné relevantní jurisdikci.
• Skrytá smluvní logika – pravidla služby obsahují klauzuli o poplatku za neaktivitu, která není komunikována na úvodní stránce, ale až v podmínkách, s nimiž uživatel souhlasí při registraci.

Samotná PKO Bank Polski varovala před falešnými bankovními aplikacemi už 2. října 2025. Banka popisuje scénář, kdy podvodník volá nebo posílá SMS s odkazem na falešný obchod a žádá PIN karty. Její bezpečnostní tým CERT funguje v režimu 24/7/365 a antifraud systém pracuje v reálném čase, přesto se kampaň dostala až k uživatelům.

Proč smazání aplikace nestačí

Tady je klíčový moment, který odlišuje tento podvod od běžného malwaru. Klasický virus běží na zařízení, odstraníte ho a hrozba zmizí. U „PKO Casino“ škoda vzniká mimo telefon:

• Odevzdané údaje – číslo karty, kopie dokladu totožnosti a osobní data už jsou na serveru podvodníka.
• Souhlas s podmínkami – odinstalace nezruší účet ani neodvolá souhlas s pravidly, která obsahují poplatek za neaktivitu.
• Navázaný platební prostředek – pokud uživatel zadal kartu nebo provedl vklad, prostředí si může nárokovat další platby.

Podle zdokumentovaného testu portálu Android.com.pl pravidla Realz obsahovala klauzuli o cyklickém poplatku za neaktivitu. Bez zadaného platebního údaje se nepodařilo ověřit technický mechanismus přímého stržení z bankovního účtu, reálné riziko tedy prudce roste ve chvíli, kdy oběť poskytne kartu nebo pošle peníze. Ale i samotné předání dokladů otevírá cestu k podvodům s identitami, které mohou trvat měsíce.

Princip připomíná taktiku, kterou FBI označuje jako „selektivní podvody“: podvodník někdy dovolí malý výběr, aby vybudoval důvěru, a teprve při větším pokusu o výběr vymyslí „daně“ nebo „odblokování účtu“.

Jak se reklama dostane do notifikací

Nepotřebujete nic instalovat. Stačí jednou kliknout na „Povolit“ u webové notifikace v Chrome a podvodný web získá kanál přímo do vašeho telefonu. Google ve své nápovědě k notifikacím potvrzuje, že weby mohou po udělení oprávnění posílat upozornění a že Chrome řeší i klamavé notifikace. Jenže oprávnění může být uděleno nepozorným kliknutím na stránce, která se tváří jako captcha nebo ověření věku.

V polském případě se „PKO Casino“ objevilo uživatelce přímo mezi systémovými notifikacemi. Bez kontextu vypadalo jako zpráva od banky.

Stejná logika, jiné logo

Komerční banka má na svém webu přímo bezpečnostní stránku k útoku „Falešná bankovní aplikace“, podvodný „bankéř“ tlačí na rychlou instalaci a může chtít PIN. Česká spořitelna varuje před phishingem, při němž se útočníci vydávají za známou instituci. Nejde o identický „kasino“ lapač, ale mechanismus zneužité bankovní důvěry je totožný.

Pro ověření legálnosti online kasina v Česku existují dva oficiální nástroje:

• Blacklist – seznam nepovolených internetových her na webu Ministerstva financí.
• Whitelist – seznam legálních provozovatelů hazardních her podle zákona č. 186/2016 Sb.

Celní správa navíc upozorňuje na „zrcadlové“ domény s pozměněnými znaky nebo čísly, právě takové triky používala i falešná stránka napodobující Google Play.

Co dělat, pokud jste už klikli

Míra ohrožení závisí na tom, jak daleko jste se dostali:

Fáze	Riziko	Okamžitý krok
Otevřeli jste stránku	Nízké – sběr technických stop, možné push notifikace	Odebrat webu oprávnění k notifikacím v nastavení Chrome
Zadali jste osobní údaje	Střední – hrozí identitní podvod	Ohlásit nebezpečí zneužití občanského průkazu na úřadě, zvážit blokaci e-identity
Zadali jste kartu nebo provedli vklad	Vysoké – hrozí opakované platby i po smazání	Okamžitě blokovat kartu, kontaktovat banku, podat oznámení

Spusťte kontrolu přes Google Play Protect. Pokud jste odeslali kopii občanského průkazu, v českém právním rámci to řešte neprodleně, portál veřejné správy umožňuje ohlásit nebezpečí zneužití dokladu a web elektronické identity nabízí blokaci identifikační funkce.

Dobrá zpráva na závěr: za samotnou návštěvu nebo rozkoukanou registraci na nelegálním hazardním webu se v českém zákoně nepodařilo dohledat samostatný přestupek. Zákon cílí na provozovatele. Riziko pro vás není trestní, je finanční a datové. A právě proto je rychlost reakce důležitější než strach z úřadů.