W marcu 2026 roku Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego wydał pilne ostrzeżenie przed złośliwym oprogramowaniem atakującym użytkowników systemów Android.
REKLAMA
Przestępcy wykorzystują wizerunek największych banków w Polsce, takich jak mBank, ING, Alior czy Bank Millennium, nakłaniając do instalacji rzekomych narzędzi zabezpieczających. W rzeczywistości aplikacje te służą do przejęcia pełnej kontroli nad telefonem i kradzieży oszczędności poprzez omijanie dwuskładnikowej autoryzacji transakcji.
Mechanizm oszustwa opiera się na dystrybucji złośliwego oprogramowania poza oficjalnym sklepem Google Play. Ofiary trafiają na pułapkę poprzez profesjonalnie przygotowane reklamy w mediach społecznościowych oraz wyniki wyszukiwania, które sugerują konieczność zainstalowania „dodatkowego klucza bezpieczeństwa”.
Charakterystycznym błędem technicznym, który pozwala na rozpoznanie próby ataku, jest brak polskich znaków diakrytycznych w nazwach plików – np. „Klucz Bezpieczenstwa SGB”. Po instalacji aplikacja wymusza pobranie tak zwanego „Komponentu Play” oraz nadanie uprawnień w sekcji Ułatwień Dostępu (Accessibility Services), co otwiera przestępcom drogę do zdalnego zarządzania urządzeniem.
REKLAMA
Łatwy łup dla złodziei
Przejęcie uprawnień do ułatwień dostępu pozwala złośliwemu oprogramowaniu na samodzielne odczytywanie zawartości ekranu, przechwytywanie haseł oraz kodów SMS służących do autoryzacji przelewów. Wykorzystanie technologii VNC umożliwia napastnikom podgląd pulpitu ofiary w czasie rzeczywistym i sterowanie telefonem tak, jakby znajdował się on w ich rękach. W ten sposób zabezpieczenia typu 2FA stają się nieskuteczne, ponieważ kody autoryzacyjne trafiają bezpośrednio do sprawców, zanim właściciel telefonu zdąży je odczytać.
