Trojan se ukryl ve více jak 50 aplikacích pro Android. Po zavření stále zobrazuje reklamy na celém displeji

Bezpečnostní firma Doctor Web odhalila kampaň, při které se trojan šířil přes obchody Samsung Galaxy Store a Xiaomi GetApps.

Zdroj fotografie: Pexels

Více než 50 her a utilit prošlo bezpečnostními kontrolami dvou velkých výrobců a skončilo v jejich oficiálních katalozích. Žádné pochybné APK stažené z fóra, žádný odkaz v SMS od neznámého čísla. Stačilo otevřít obchod s aplikacemi, který byl v telefonu předinstalovaný, nainstalovat nenápadnou hru nebo PDF čtečku, a telefon začal zobrazovat reklamy přes celou obrazovku, i když byla aplikace dávno zavřená. Doctor Web kampaň veřejně popsal 4. června 2026, ale první verze malwaru se v obchodech objevovaly už v průběhu roku 2025.

Jak se trojan dostal přes kontroly výrobců

Útočníci nevsadili na jednu výraznou aplikaci, ale na desítky krátkodobých titulů. Každá infikovaná appka vydržela v obchodě obvykle méně než měsíc a poté zmizela, nahrazena další verzí s jiným balíčkem. Rotace byla záměrná: krátká životnost snižovala šanci, že si automatické skeny nebo ruční recenzenti všimnou podezřelého chování.

Škodlivý kód navíc nebyl na první pohled viditelný. Byl ukrytý v šifrovaných nativních knihovnách a rozbaloval se až za běhu, tedy až poté, co aplikace prošla kontrolou a dostala se do telefonu uživatele. Malware si hlídal, jestli neběží v testovacím prostředí nebo na virtuálním stroji, kontroloval IP adresy a ověřoval, že instalace vypadá „organicky“. Kombinace obfuskace, antianalýzy a rychlé rotace titulů vytvořila systém, který bezpečnostní filtry obou obchodů systematicky obcházel.

Reklamy bez pozvání: jak MagicAd funguje

Po prvním spuštění infikované aplikace malware provedl několik kroků najednou. Schoval ikonu z hlavní nabídky, takže uživatel mohl mít dojem, že se aplikace sama smazala. Ve skutečnosti na pozadí vytvořil notifikační kanál, spustil několik perzistentních služeb a naplánoval jejich automatické obnovování.

Klíčový trik spočíval v tom, jak reklamy zobrazoval. Android od verze 10 omezuje spouštění aktivit na pozadí a overlay oprávnění (SYSTEM_ALERT_WINDOW) vyžaduje explicitní souhlas uživatele. MagicAd obcházel tato omezení několika způsoby:

• Na telefonech Xiaomi využíval systémové komponenty MIUI, například MI Browser nebo systémové UI, k „probuzení“ reklamních aktivit přes skryté moduly a záměrně vytvářené systémové události.
• Na telefonech Vivo zneužíval systémové aplikace jako iManager, Phonebook nebo Vivo Browser, které mají vyšší oprávnění, a přes ně spouštěl reklamní obsah.
• Univerzálně dokázal spouštět reklamní vrstvy přes systémový přehrávač médií nebo jiné důvěryhodné systémové procesy.

Reklamy se pak vykreslovaly jako tzv. Translucent Activity, průhledná aktivita překrývající celou obrazovku. Uživatel viděl reklamu nad domovskou obrazovkou nebo jinou aplikací, aniž by cokoliv povolil. Nešlo o běžný adware, který zobrazuje reklamy uvnitř vlastního okna, ale o sofistikované zneužití systémových komponent k vynucení reklamních impresí.

Které aplikace byly zasaženy

Seznam MOV na GitHubu Doctor Webu obsahuje desítky názvů balíčků. Mezi reprezentativní patří:

• Hry: One Tower Idle Defense, Save My Pig, Ultimate Highway Drive, Short Flix Box
• Nástroje: Rychlý správce souborů, Upper Cleaner, Power Cleaner, PDF Reader, Prime PDF Editor
• Ostatní: Přehrávač všech videí, Festivalové tapety 4K, Živé počasí, Předpověď počasí Pro, Denní předpověď počasí

Vzorec je nápadný. Generické názvy, jednoduché casual hry, tapety, počasí, čističe paměti, PDF čtečky. Přesně kategorie, kde uživatel nehledá konkrétní značku, ale klikne na první výsledek s rozumným hodnocením. Primární zdroj neuvádí regionální rozpad podle zemí, ale oba obchody, Samsung Galaxy Store i Xiaomi GetApps, fungují i v české mutaci a jsou běžnou součástí telefonů prodávaných na českém trhu.

Co dělat, když máte Samsung nebo Xiaomi

Odstranění aplikace z obchodu neznamená její odstranění z telefonu. Kdo si některou ze zasažených aplikací nainstaloval v době její dostupnosti, mohl být zasažen i poté, co titul z katalogu zmizel. Doctor Web v době zveřejnění zprávy potvrdil, že v GetApps už žádná z identifikovaných aplikací nebyla dostupná.

Praktické kroky pro kontrolu:

• Projděte Nastavení → Aplikace a porovnejte nainstalované názvy se seznamem IOC. Nehledejte jen v launcheru, malware ikonu může skrýt.
• Sledujte varovné příznaky: reklamy přes celou obrazovku mimo otevřenou aplikaci, aplikace, která po spuštění „zmizí“ z hlavní nabídky.
• Mějte zapnutý Google Play Protect. Kontroluje i aplikace nainstalované mimo Google Play, tedy i z GetApps nebo Galaxy Store, a umí škodlivou aplikaci varovat, deaktivovat nebo odstranit.
• Podezřelou aplikaci odinstalujte. Podle popsané architektury je malware vázaný na soubory uvnitř hostitelské aplikace, takže odinstalace by měla stačit.
• Pokud reklamy pokračují i po smazání, restartujte telefon do nouzového režimu a odstraňujte nedávno přidané aplikace po jedné. V krajním případě proveďte tovární reset.

Oficiální obchod už není automatická záruka

Poučka „stahujte jen z oficiálního obchodu“ je stále výrazně bezpečnější než instalace APK z neověřených webů. Tento případ ale ukazuje, že u určitých kategorií aplikací (anonymní čističe, tapety, jednoduché hry, aplikace na počasí od neznámých vývojářů) samotný štít oficiálního katalogu nestačí. Útočníci přesně vědí, kde uživatelé klikají bez rozmyslu, a přizpůsobili tomu celou strategii: krátká životnost v obchodě, generické názvy a škodlivý payload aktivovaný až po instalaci.

Kampaň Android.MagicAd.1 běžela nejméně od roku 2025 do června 2026. Kdo za ní stojí, veřejně známo není, Doctor Web konkrétní skupinu nejmenuje. Motiv je ale zřejmý: každá vynucená reklamní imprese generuje peníze. Desítky tisíc zobrazení denně, opakovaně. Žádný ransomware, žádná krádež hesel. Jen tichý proud reklam, které někdo platí a někdo inkasuje, a mezi nimi telefon, který se svému majiteli přestal chovat tak, jak má.