Nebezpečná skupina hackerů na zakázku napadá Androidy. Stát se to může i vám, aniž se o tom dozvíte

Komerční spyware dokáže z telefonu vytáhnout fotky, zprávy i polohu – a oběť nemusí kliknout na jediný odkaz.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Android (Google)

Představte si firmu, která neprodává software pro firmy ani hry pro děti, ale kompletní balíček pro sledování cizího telefonu. Zákazník zaplatí, vybere cíl a operátor dodá data: chaty, fotografie, záznamy hovorů, GPS souřadnice. Není to scénář z thrilleru. Google Threat Analysis Group aktivně sleduje kolem čtyřiceti takových subjektů a v únoru 2024 zveřejnil zprávu, podle níž tyto firmy stojí za polovinou všech známých zero-day exploitů mířených na produkty Google a zařízení s Androidem. Trh s hackery na objednání je globální, miliardový a stále aktivní.

Kdo jsou „hackeři na objednání“

Nejde o osamělé hackery v kapuci. Jde o komerční ekosystém, který Google TAG označuje jako dodavatele komerčního sledovacího softwaru. Řetězec má několik článků:

• Vývojáři exploitů – hledají a zneužívají dosud neopravené zranitelnosti v iOS, Androidu a prohlížečích.
• Brokeři zranitelností – skupují a přeprodávají informace o chybách.
• Operátoři spyware – dodávají hotový produkt i s infrastrukturou pro sběr dat.
• Zákazníci – podle Googlu typicky vlády a bezpečnostní složky, které si vybírají konkrétní terče.

Meta ve vlastní investigaci zdokumentovala i soukromou indickou firmu CyberRoot, která nabízela hacking na objednání a cílila na osoby zapojené do soudních sporů. Objednávka útoku tedy nemusí přijít jen od státu, stačí klient s dostatečným rozpočtem a motivací.

Jak útok vypadá v praxi

Klasický phishing potřebuje, aby oběť klikla na odkaz a zadala heslo. Mercenary spyware pracuje jinak. Amnesty International Security Lab ve svém technickém rozboru nástroje Predator popsal tři hlavní cesty:

1. Zero-click exploity – zpráva dorazí přes iMessage nebo WhatsApp a telefon je kompromitován bez jediného klepnutí uživatele.
2. Síťová injekce – útočník na úrovni operátora nebo Wi-Fi přesměruje provoz na infekční stránku. Oběť nemá prakticky žádnou možnost obrany kromě VPN.
3. Jednoklikové odkazy – sofistikovanější verze phishingu, kde stačí otevřít stránku v prohlížeči a řetězec exploitů prolomí systém.

Google TAG v roce 2023 zdokumentoval kampaně s řetězci exploitů proti iOS, Androidu i prohlížeči Samsung Internet. Jednoznačně „bezpečnější“ systém neexistuje, obě platformy jsou reálnými cíli.

Po úspěšné infekci spyware komunikuje s řídicím serverem. Operátor pak vydává příkazy: stáhni fotky, aktivuj mikrofon, zaznamenej polohu. Podle Amnesty může být přístup zahájen prakticky okamžitě, v řádu minut od kompromitace.

Český kontext: co říká NÚKIB

Ve veřejně dostupných materiálech Národního úřadu pro kybernetickou a informační bezpečnost není popsán konkrétní případ mercenary spyware namířeného na běžného českého uživatele. To ale neznamená, že téma je vzdálené.

NÚKIB v čtvrtletním přehledu hrozeb za Q1 2026 výslovně zařadil mezi hrozby relevantní pro Česko cílenou kampaň vedenou přes Signal a zneužívání nástroje Coruna pro kompromitaci iPhonů. Ve stejném období evidoval přes 3 200 zařízení kompromitovaných botnetem REDHEBERG a více než 70 kybernetických incidentů. Mobilní bezpečnost je v tuzemsku reálné téma, jen zatím ne v podobě veřejně potvrzené aféry typu Pegasus.

Důležité je odlišit: podvodné telefonáty zneužívající identity bank, před kterými NÚKIB pravidelně varuje, patří do kategorie vishingu a sociálního inženýrství. Jsou masové, levné a necílené. Mercenary spyware je přesný opak, drahý, vysoce cílený a technicky sofistikovaný.

Koho se to týká a co udělat dnes

Apple výslovně uvádí, že „naprostá většina uživatelů nikdy cílem nebude“. Typickými terči jsou novináři, aktivisté, politici a diplomati. Od roku 2021 Apple rozeslal upozornění na mercenary spyware uživatelům ve více než 150 zemích.

Pro běžného uživatele je nejpravděpodobnější scénář jiný: ne Pegasus v kapse, ale převzetí účtu přes ukradený ověřovací kód, podvržený QR kód nebo kompromitované propojené zařízení. Telefon je přitom klíčem ke všemu, k e-mailu, cloudu, bankovnictví i sociálním sítím. Stačí ovládnout jedno zařízení a sekundárně jsou ohroženy všechny účty navázané na reset hesla.

Praktický checklist, který má smysl pro každého:

• Aktualizujte systém i aplikace – zero-day exploity přestávají fungovat po záplatě.
• Zapněte dvoufázové ověření a passkeys všude, kde je to možné.
• Nikdy nesdílejte ověřovací kódy a neskenujte nečekané QR kódy.
• Zkontrolujte propojená zařízení v Signalu, WhatsAppu i e-mailu.
• Neinstalujte aplikace mimo oficiální obchod.
• Při vyšším riziku: na iPhonu zapněte Lockdown Mode, na Androidu Advanced Protection.

Jak poznat, že je něco špatně

U špičkového spyware je detekce extrémně obtížná, nástroje jsou navrženy tak, aby nezanechávaly stopy. Amnesty nabízí forenzní nástroj MVT, ale výslovně upozorňuje, že jde o expertní software, nikoli o jednoduchý antivir pro domácí použití.

Signály, kterých si může všimnout kdokoli: bezpečnostní upozornění od Applu nebo Googlu, neznámé přihlášení k účtům, nezvyklé žádosti o ověřovací kódy, neznámá propojená zařízení v messengeru. Absence příznaků ale není důkazem bezpečí.

Telefon v kapse je dnes nejcennější datový trezor, který většina z nás vlastní. Mercenary spyware ukazuje, co je technicky možné. A i když pravděpodobnost, že se stanete jeho cílem, je nízká, základní hygiena, aktualizace, silné ověření a zdravá nedůvěra k neočekávaným zprávám, chrání proti celému spektru hrozeb, od těch nejlevnějších po ty nejdražší.