Aplikace vám prolustruje doklady i platební karty. Nikdy nepovolujte přístup k celé galerii fotek; nikdy

Malware SparkCat dokázal přímo v telefonu přečíst text z fotek dokladů, karet i hesla, a to i v aplikacích stažených z oficiálních obchodů.

Zdroj fotografie: Unsplash

Představte si, že si nainstalujete messenger nebo platební aplikaci z Google Play. Vyskočí okno: „Aplikace žádá přístup k vašim fotkám a videím.“ Klepnete na „Povolit“ a pokračujete dál. Jenže tím jste právě odemkli celý svůj fotoarchiv: roky screenshotů, fotky občanky pořízené kvůli pojišťovně, snímek platební karty poslaných partnerovi, zálohu seed fráze ke kryptopeněžence. Přesně tohle zneužila kampaň SparkCat, kterou na přelomu let 2024 a 2025 odhalili analytici Kaspersky . Šlo o první veřejně zdokumentovaný případ OCR stealeru, který se současně dostal do App Store i Google Play. Infikované aplikace měly dohromady přes 242 tisíc instalací. A mechanismus, který použil, je alarmující svou jednoduchostí.

Jak SparkCat prolustroval váš telefon

SparkCat nepotřeboval žádný sofistikovaný exploit. Stačilo mu jedno oprávnění: plný přístup ke galerii. Získal, spustil na pozadí rozpoznávání textu pomocí Google ML Kit, stejné technologie, kterou legitimní aplikace používají ke čtení vizitek nebo účtenek. Celé OCR běželo lokálně, přímo v telefonu. Žádný se nemusel nejdříve posílat snímek na vzdálený server, aby z něj malware „přečetl“ text.

Postup byl automatizovaný a cílený:

• Aplikace stáhla z řídicího serveru (C2) seznam klíčových slov, seed fráze kryptopeněženek, ale i obecnější výrazy.
• Lokální OCR prošlo fotky v galerii a hledalo shody s těmito slovy.
• Pouze snímky odpovídající vzoru se odeslaly útočníkům.

V seznamu klíčových slov se podle Kaspersky objevily i české výrazy. Report uvádí zmiňuje cíle minimálně na Evropu a Asii. Český uživatel tedy nebyl mimo hru, přesné počty obětí podle zemí ale zveřejněny nebyly.

Důležitý detail: mezi infikovanými aplikacemi nebyly jen zjevné podvody. Kaspersky identifikoval messengery, AI chatboty, platební a směnárenské aplikace. U některých nevyloučili, že škodlivý kód přibyl přes kompromovanou knihovnu, nikoli záměrem vytvořit novou.

Proč „Povolit přístup ke všem fotografiím“ není nevinná volba

Když udělíte plný přístup k fotkám, nedáváte jí jen možnost vybrat obrázek k aplikaci. Dávejte jí klíč k celému archivu: tisíce snímků, roky historie. A s dnešním OCR, které rozpoznám text na kartě, dokladu nebo screenshotu s heslem, je to jako nechat cizího člověka listovat vaším šuplíkem s dokumenty.

přitom oba hlavní mobilní systémy už dávno nabízejí bezpečnější cestu:

• iOS zavedl omezenou knihovnu fotek v iOS 14. Aplikaci můžete zpřístupnit jen konkrétní vybrané snímky, zbytek galerie pro ni neexistuje.
• Android s Photo Pickerem, který přišel žádné oprávnění k fotkám: aplikace dostane jen to, co si ručně vyberete. Picker je přes Google Play Services dostupný i na starších zařízeních až po Android 4.4. Od Androidu 14 navíc existuje systémová volba „Vybrat fotky a videa“ i pro aplikace, které si stále žádají klasické mediální oprávnění.

Google Play dnes vývojářům říká říká, že široký přístup k fotkám mají žádat jen tehdy, když picker nestačí pro hlavní funkci aplikace. Jinými slovy: pokud messenger, e-shop nebo AI chatbot chce přístup ke „všem fotkám“, je to varovný signál, ne komfortní volba.

Jak ověření a odvolat

Kontrola zabere dvě minuty. A stojí za to ji udělat teď.

Na iPhonu:

1. Nastavení → Soukromí a zabezpečení → Fotky.
2. U každé aplikace zvolte „Žádné“, „Omezený přístup“ nebo „Plný přístup“.
3. Zapněte si App Privacy Report (Nastavení → Soukromí a zabezpečení → App Privacy Report): uvidíte, jak často která aplikace sahala na fotky jakými doménami komunikovala za posledních 7 dní.

Na Androidu:

1. Nastavení → Aplikace → vybraná aplikace → Oprávnění → Fotky a videa → Nepovolit.
2. Nebo hromadně: Nastavení → Zabezpečení a soukromí → Soukromí → Správce oprávnění → Fotky a videa, projděte celý seznam.

Podle nás by plný přístup ke galerii měl mít jen úzký okruh aplikací: editor fotek, zálohovací služba, případně galerie sama. Všechno ostatní si vystačí s pickerem.

Co dělat, když už fotky dokladů v galerii máte

Smazat citlivé snímky z telefonu je první krok, ale není poslední. Pokud jste měli nainstalovanou podezřelou aplikaci s plným přístupem, musíte počítat s tím, že fotky už mohly být zkopírovány. Smazání nepůsobí zpětně.

Praktický postup:

1. Smažte citlivé snímky z galerie a vyprázdněte koš: na iPhone zůstávají v „Nedávno smazané“ 30 dní, v Google Photos až 60 dní.
2. Zkontrolujte cloud. Na iPhone se mazání s iCloud Photos propisuje na všechna zařízení. U Androidu může existovat nesoulad mezi lokálními galeriemi a Google Photos: smazání v jedné nemusí znamenat smazání v druhé.
3. Změňte exponovaná hesla. Heslo, které jste kdy vyfotili nebo zachytili na screenshotu, považujte za kompromitované.
4. Zablokujte karty ,soubory snímky jste měli v galerii, zejména pokud na fotce bylo vidět celé číslo a CVV.
5. Seed fráze? Kaspersky doporučuje založit novou peněženku a převést prostředky.

A hlavně: podezřelou aplikaci nejdříve odstranit, pak řešit důsledky.

Oficiální obchod neznamená automaticky bezpečně

SparkCat rozbil jednu z posledních iluzí mobilní bezpečnosti. Aplikace prošla kontrolou Google Play i App Store, měla slušné hodnocení, vypadala legitimně. A přesto na pozadí strojů pročítala fotoarchivy uživatelů.

Technicky vzato k tomu nepotřebovala nic víc než jedno oprávnění, které většina lidí udělí bez přemýšlení. Proto platí jedno pravidlo bez výjimky: když aplikace žádá přístup ke všem fotkám a její hlavní funkce to zjevně skutečnost, odpověď je „Ne“. vždy.