Českem se šíří zlodějský virus, který napadá androidy. Okamžitě smažte tuto aplikaci

Trojský kůň Anatsa se šíří přes zdánlivě bezpečné aplikace v Google Play a cílí na bankovní účty evropských uživatelů. Jak funguje a proč je tak těžké ho odhalit?

Když si stahujete čtečku QR kódů nebo PDF prohlížeč z oficiálního obchodu Google Play, pravděpodobně nepočítáte s tím, že by vám taková aplikace mohla vyprázdnit bankovní účet. Přesně na tom ale staví jeden z nejsofistikovanějších bankovních trojských koní současnosti – Anatsa, někdy označovaný také jako TeaBot.

Sleduju vývoj mobilních hrozeb už několik let a musím říct, že Anatsa představuje kvalitativní posun v tom, jak kyberzločinci přistupují k okrádání běžných uživatelů. Nejde o primitivní virus, který by se dal snadno odhalit. Je to promyšlený systém, který využívá legitimní funkce Androidu způsobem, na který většina lidí není připravena.

Jak se Anatsa dostane do telefonu

Princip je geniálně jednoduchý. Útočníci vytvoří aplikaci, která na první pohled dělá přesně to, co slibuje – třeba skenuje QR kódy nebo spravuje soubory. Tato aplikace projde bezpečnostními kontrolami Google Play, protože v okamžiku kontroly žádný škodlivý kód neobsahuje. Teprve po instalaci, když jí uživatel udělí požadovaná oprávnění, si aplikace stáhne skutečný malware z externího serveru.

„Potřebujeme aktualizaci pro rozšířené funkce,“ hlásí aplikace. A většina lidí bez přemýšlení odklepne souhlas. V tu chvíli je pozdě.

Klíčovou roli hraje zneužití služeb usnadnění přístupu (Accessibility Services). Tyto funkce původně vznikly pro uživatele se speciálními potřebami – umožňují aplikacím číst obsah obrazovky, simulovat dotyky nebo zadávat text. V rukou Anatsy se ale mění v nástroj totální kontroly nad zařízením.

Co všechno Anatsa umí

Jakmile se trojský kůň usídlí v telefonu, jeho schopnosti jsou alarmující. Zaznamenává každý stisk klávesy, takže získá přihlašovací údaje do bankovnictví, kryptoměnových peněženek i sociálních sítí. Čte a odesílá SMS zprávy, čímž obchází dvoufaktorové ověření. Dokáže zobrazit falešnou přihlašovací obrazovku přes legitimní bankovní aplikaci – takzvaný overlay útok.

Co je znepokojivé: Anatsa aktivně cílí na stovky bankovních aplikací v Evropě. Analýzy z konce roku 2023 a začátku 2024 ukazují, že mezi zasažené regiony patří Velká Británie, Německo, Španělsko, Itálie, Francie, Belgie a Nizozemsko. V souvislosti s útoky se objevují jména bank jako Barclays, NatWest, Santander, Commerzbank nebo UniCredit.

Proč ji antiviry neodhalí

Anatsa používá několik vrstev ochrany proti detekci. Samotný princip dvoufázového nasazení – čistá aplikace v obchodě, škodlivý kód až později – je první linií obrany. Kód malwaru je navíc silně obfuskovaný, tedy záměrně zamaskovaný tak, aby byl obtížně analyzovatelný.

Trojský kůň také obsahuje mechanismy, které detekují, zda běží v emulátoru nebo virtuálním prostředí používaném bezpečnostními analytiky. Pokud ano, zůstane neaktivní. Skryje svou ikonu z hlavního menu, takže ji uživatel nemůže jednoduše najít a odinstalovat. V některých případech se dokáže sama restartovat po spuštění zařízení.

Zajímavé je, že ani novější verze Androidu neposkytují spolehlivou ochranu. Anatsa funguje i na Androidu 10, 11, 12 a 13, protože chytře využívá legitimní systémové funkce způsobem, který Google při návrhu nepředpokládal.

Kdo za tím stojí

Bezpečnostní experti spojují Anatsu s kyberkriminální skupinou označovanou jako „TeaBot“ nebo „Anatsa group“. Předpokládá se původ ve východní Evropě, i když přímá atribuce je vždy obtížná. Jde o vysoce organizovanou operaci s jasnou finanční motivací – ukradená data z bankovních účtů se dají rychle zpeněžit.

Komunikace mezi infikovanými zařízeními a řídícími servery probíhá přes šifrované spojení. Servery jsou rozesety po celém světě, což ztěžuje jejich lokalizaci a odstavení. Z napadených telefonů putují k útočníkům bankovní přihlašovací údaje, historie SMS zpráv, seznamy kontaktů i detailní informace o zařízení.

Co dělat při nákaze

Pokud máte podezření na infekci, pouhé odinstalování podezřelé aplikace nestačí. Doporučený postup začíná restartem telefonu do bezpečného režimu, který zabrání spuštění škodlivé aplikace. Poté je třeba v nastavení odebrat oprávnění správce zařízení a zakázat Accessibility Services pro podezřelé aplikace.

Realita je ale taková, že jediným spolehlivým řešením je tovární nastavení. Anatsa se zakořeňuje tak hluboko, že jinak nelze mít jistotu úplného odstranění. Znamená to ztrátu všech dat, která nejsou zálohovaná – další důvod, proč pravidelné zálohy nejsou paranoia, ale nutnost.

Prevence je jednodušší než léčba

Základní pravidlo zní: buďte extrémně opatrní s udělováním oprávnění. Když čtečka QR kódů požaduje přístup k SMS zprávám nebo službám usnadnění, něco je špatně. Žádná legitimní aplikace tohoto typu taková oprávnění nepotřebuje.

Fakt, že aplikace pochází z Google Play, bohužel neznamená automatickou bezpečnost. Dvoufázový model nasazení, který Anatsa používá, ukazuje limity současných kontrolních mechanismů. Zdravá skepse a kritické myšlení zůstávají nejlepší obranou – v digitálním světě stejně jako kdekoli jinde.