Nová generace trojského koně se ukryje v běžné aplikaci, kde vyčkává. Při platbě pak potichu přesměruje peníze na cizí účet

Brazilský platební systém Pix používá přes 170 milionů lidí. Právě na něj míří trojan, který nezjišťuje hesla, ale mění příjemce platby v reálném čase.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Bezpečnostní laboratoř Zimperium zLabs publikovala v březnu 2026 technickou analýzu malwaru pojmenovaného PixRevolution. Na první pohled vypadá jako další z řady androidových bankovních trojanů. Při bližším pohledu je ale vidět zásadní posun. Starší rodiny, Cerberus, FluBot a desítky dalších, se soustředily na krádež přihlašovacích údajů, zachytávání SMS kódů nebo překrývání bankovní aplikace falešným oknem. PixRevolution nic z toho primárně nedělá. Čeká. A zasáhne až ve chvíli, kdy uživatel sám provádí legitimní platbu.

Jak útok probíhá krok za krokem

Všechno začíná instalací. Zimperium identifikoval 14 vzorků maskovaných jako známé aplikace, cestovatelský portál Expedia, poštovní služba Correios, antivirový program AVG nebo fitness aplikace. Žádná z nich nepochází z oficiálního Google Play. Útočníci provozují vlastní domény s falešnými kopiemi obchodu, na které oběti navedou přes SMS, reklamu nebo telefonát.

Po instalaci si aplikace vyžádá oprávnění k takzvané službě usnadnění přístupu (accessibility service), funkci Androidu určené pro hendikepované uživatele. Jenže accessibility API umí číst obsah jakéhokoli okna na obrazovce a simulovat dotyky. Přesně to PixRevolution potřebuje.

Od té chvíle trojan běží na pozadí a poslouchá. Nečeká na otevření jedné konkrétní bankovní aplikace, sleduje více než 80 portugalských frází spojených s platbou, zůstatkem nebo potvrzením transakce. Jakmile rozpozná, že uživatel zadává převod přes Pix, aktivuje se řetězec:

• Živý přenos obrazovky – přes Android MediaProjection API streamuje obraz operátorovi na druhé straně.
• Překryvná obrazovka „Aguarde…“ – na displeji se zobrazí překryvná vrstva s výzvou k čekání. Uživatel nevidí, co se děje pod ní.
• Přepsání příjemce – malware najde vstupní pole, přes systémový příkaz „ACTION_SET_TEXT“ nahradí Pix klíč příjemce údajem útočníka.
• Simulace potvrzení – přes „dispatchGesture()“ provede klepnutí na potvrzovací tlačítko.
• Překryvná obrazovka zmizí – uživatel vidí potvrzenou transakci. Peníze ale odešly jinam.

Celý proces trvá sekundy. A co je klíčové: na straně oběti nevyskočí žádné podezřelé okno, žádná výzva k zadání hesla. Uživatel dělal všechno správně, platil přes svou bankovní aplikaci, na svém telefonu, vlastním otiskem prstu.

Proč je tak těžké peníze získat zpět

Brazilský systém Pix zpracuje transakci prakticky okamžitě. Jen v lednu 2026 jím prošlo přes 7 miliard plateb. Okamžitost, která je pro uživatele pohodlná, je pro oběť podvodu katastrofální, neexistuje klasické odvolací okno jako u karetních transakcí.

Brazilská centrální banka pro tyto případy zavedla mechanismus MED. Oběť musí podat reklamaci u své banky do 80 dnů, banka má 7 dní na posouzení. Vrácení peněz ale závisí na tom, zda se podaří zablokovat nebo dohledat prostředky na účtu podvodníka. Vrácení může být plné, částečné nebo žádné, pokud útočník peníze okamžitě přesunul dál. Podle dat Fóra Brasileiro de Segurança Pública se za jediný rok stalo obětí podvodů spojených s Pixem a podobnými nástroji přes 24 milionů Brazilců.

Co odlišuje PixRevolution od starších trojanů

Posun není jen technický, je koncepční. Cerberus překrýval bankovní aplikaci falešným oknem a sbíral přihlašovací údaje. FluBot se šířil masově přes SMS, kradl kontakty a zobrazoval phishingové překryvné vrstvy. Oba typy útočily před platbou nebo mimo ni.

PixRevolution útočí uvnitř platby. Nepotřebuje znát heslo oběti, nepotřebuje její SMS kód, nepotřebuje ani vědět, kterou banku používá. Zimperium ho označuje jako „bank-agnostic“, tedy nezávislý na konkrétní bance, funguje proti jakékoli aplikaci, která zobrazí platební formulář s textovými poli. A na druhé straně nesedí jen automat. Analýza ukazuje na model s živým operátorem: ten sleduje přenos obrazovky a v reálném čase posílá Pix klíč, na který se platba přesměruje.

Zimperium zatím veřejně nepojmenoval konkrétní skupinu stojící za malwarem. Z pozorované infrastruktury, vlastních distribučních domén, vícestupňových dropperů a persistentní komunikace s řídicím serverem, ale vyvozuje organizovanou a profesionální operaci.

Jiný malware, stejný princip

PixRevolution aktuálně cílí na Brazílii a používá portugalské fráze. Znamená to, že se českých uživatelů netýká? Ne tak docela.

V srpnu 2024 popsal NÚKIB malware NGate, který zasáhl klienty tří českých bank. Šlo o jinou techniku, zneužití NFC relay k výběru z bankomatů, ale vstupní vektor byl podobný: falešná aplikace, telefonická manipulace, zneužití oprávnění na Androidu. ESET, který NGate analyzoval, potvrdil, že kampaň cílila výhradně na české občany.

Technický model PixRevolution přitom není vázaný na Pix jako technologii. Stojí na standardních Android API, konkrétně na službě usnadnění přístupu, MediaProjection a simulaci gest. Zimperium výslovně upozorňuje, že podobný provozní model je přenositelný na jakýkoli systém okamžitých plateb. Česká spořitelna i Komerční banka ve svých bezpečnostních doporučeních radí totéž, co by ochránilo i před PixRevolution: instalovat aplikace výhradně z oficiálních obchodů, nereagovat na telefonické výzvy ke stažení „aktualizace“ a nikdy neudělovat oprávnění ke službě usnadnění přístupu aplikaci, která ho zjevně nepotřebuje.

Jak se bránit konkrétně

Vstupní brána útoku je vždy stejná: instalace aplikace mimo oficiální obchod a udělení silných oprávnění. Praktické kontrolní body:

• Aplikaci stahujte jen z Google Play nebo App Store, nikdy přes odkaz v SMS či z telefonického pokynu.
• Pokud aplikace žádá oprávnění ke službě usnadnění přístupu a není to asistenční nástroj pro hendikepované, odmítněte.
• Požadavek na PIN platební karty, přiložení karty k telefonu nebo vypnutí bezpečnostních prvků je vždy varovný signál.
• Google Play Protect skenuje i aplikace z jiných zdrojů a může je zablokovat, není to ale absolutní záruka, protože PixRevolution stojí na oprávněních, která uživatel sám udělil.
• Při podezřelé transakci okamžitě kontaktujte banku, zablokujte kartu, změňte hesla a v krajním případě proveďte tovární reset telefonu.

Nejzákeřnější na celém útoku není sofistikovaný kód ani organizovaná skupina za ním. Je to načasování. Uživatel platí vlastní platbu, na vlastním telefonu, ve vlastní bankovní aplikaci, a přesto peníze skončí jinde.