Bankovní trojan deVixor útočí na Android: šíří se přes falešné APK, krade bankovní údaje, využívá Telegram a Firebase a umí uzamknout telefon za 50 TRX.
© RusPhotoBank
Výzkumníci v oblasti kyberbezpečnosti upozorňují na nové nebezpečí pro majitele Androidu: bankovní trojan deVixor, který nejen odčerpává peníze z účtů, ale sahá i po ransomwarových taktikách.
Specialisté identifikovali přes 700 vzorků tohoto malwaru a útoky probíhají od října 2025. deVixor se šíří přes podvržené weby vydávající se za stránky známých automobilových značek s „výhodnými“ nabídkami. Návštěvníkům nabízí stažení souboru APK, prezentovaného jako aplikace pro zadání objednávky nebo získání dalších informací — návnada má působit prakticky a neškodně.
Po instalaci se trojan tiše zabydlí a pustí se do práce, přičemž využívá řídicí infrastrukturu založenou na Telegramu. Zároveň komunikuje se servery Firebase, odkud přijímá instrukce a kam odesílá odcizená data. Tato kombinace znesnadňuje odhalení i narušení, protože se veze na běžně používaných platformách.
Jeho hlavním cílem je finanční krádež. Prohledává SMS na kompromitovaném zařízení kvůli bankovním notifikacím a jednorázovým kódům, a sbírá čísla karet i zůstatky na účtech. Útočníci také zneužívají WebView a injekce JavaScriptu k zobrazování přesvědčivých falešných bankovních stránek, kde oběti nevědomky zadávají své přihlašovací údaje.
Nejvíc zneklidňuje vestavěný vyděračský modul. Na pokyn dokážou operátoři uzamknout obrazovku zařízení a zobrazit požadavek na platbu kryptoměnou TRON — 50 TRX — na uvedenou adresu. Telefon zůstane nepřístupný, dokud požadavky nesplníte, čímž se krádež dat mění v otevřené vydírání.
Příchod deVixoru ukazuje, že kyberzločinci dál pilují své nástroje a dělají z útoků pružnější i nebezpečnější platformy. Odborníci radí pečlivě hlídat původ aplikací a vyhýbat se instalaci APK z neověřených webů — zvlášť když nabídka působí až příliš lákavě.