https://pepelac.news/pl/posts/id20907-devixor-trojan-bankowy-na-androida-z-funkcja-ransomware

deVixor: trojan bankowy na Androida z funkcją ransomware

Nowy trojan deVixor atakuje Androida: kradzież i szantaż

deVixor: trojan bankowy na Androida z funkcją ransomware

deVixor to trojan bankowy na Androida z modułem ransomware. Rozprzestrzenia się przez fałszywe APK, kradnie SMS i loginy, blokuje ekran i żąda okupu 50 TRX.

2026-01-14T10:24:44+03:00

Badacze cyberbezpieczeństwa ostrzegają o nowym groźnym zagrożeniu dla użytkowników Androida: trojanie bankowym deVixor, który nie tylko wyciąga pieniądze z kont ofiar, lecz także sięga po taktyki typowe dla ransomware.Specjaliści zidentyfikowali ponad 700 próbek złośliwego oprogramowania; ataki trwają od października 2025 roku. deVixor rozprzestrzenia się przez fałszywe witryny stylizowane na strony znanych marek motoryzacyjnych, kuszące „okazyjnymi” ofertami. Odwiedzający są zachęcani do pobrania pliku APK, przedstawianego jako aplikacja do złożenia zamówienia lub uzyskania szczegółów — przynęta zaprojektowana tak, by wydawała się praktyczna i nieszkodliwa. Schemat brzmi znajomo: atrakcyjna okazja i aplikacja do szybkiego zamówienia.Po instalacji trojan cicho zakotwicza się w systemie i zaczyna działać, korzystając z infrastruktury dowodzenia i kontroli opartej na Telegramie. Porozumiewa się też z serwerami Firebase, by odbierać polecenia i przesyłać wykradzione dane — połączenie, które utrudnia wykrycie i zakłócenie operacji, bo opiera się na powszechnie wykorzystywanych platformach. Wykorzystanie popularnych usług jako tła komunikacji to sprytny sposób na utrudnienie obrony.Głównym celem jest kradzież finansowa. deVixor skanuje wiadomości SMS na zainfekowanym urządzeniu, szukając powiadomień bankowych i jednorazowych kodów, a także pozyskuje numery kart oraz salda kont. Atakujący wykorzystują WebView i wstrzyknięcia JavaScript, by wyświetlać przekonujące fałszywe strony bankowości, na których ofiary nieświadomie wpisują swoje dane logowania.Najbardziej niepokojący jest wbudowany moduł wymuszeń. Na polecenie operatorów złośliwy kod potrafi zablokować ekran urządzenia i wyświetlić żądanie płatności kryptowalutą TRON — 50 TRX — na wskazany adres. Telefon pozostaje niedostępny do czasu spełnienia żądania, co zamienia kradzież danych w pełnoprawny szantaż. To połączenie technik pokazuje, jak łatwo kradzież informacji przeradza się w presję na ofiarę.Pojawienie się deVixora pokazuje, że cyberprzestępcy ciągle dopracowują swoje narzędzia, czyniąc platformy ataku bardziej elastycznymi i groźniejszymi. Eksperci radzą użytkownikom Androida uważnie sprawdzać źródła aplikacji i unikać instalowania plików APK z niesprawdzonych stron — zwłaszcza gdy oferta wygląda aż nazbyt atrakcyjnie.

deVixor, trojan bankowy, Android, ransomware, fałszywe APK, phishing bankowy, WebView, kradzież danych, kody SMS, 2FA, blokada ekranu, 50 TRX, TRON, Telegram, Firebase, malware na Androida

2026

Danny Weber

news

Nowy trojan deVixor atakuje Androida: kradzież i szantaż

deVixor to trojan bankowy na Androida z modułem ransomware. Rozprzestrzenia się przez fałszywe APK, kradnie SMS i loginy, blokuje ekran i żąda okupu 50 TRX.

Danny Weber, Editor

10:24 14-01-2026

Specjaliści zidentyfikowali ponad 700 próbek złośliwego oprogramowania; ataki trwają od października 2025 roku. deVixor rozprzestrzenia się przez fałszywe witryny stylizowane na strony znanych marek motoryzacyjnych, kuszące „okazyjnymi” ofertami. Odwiedzający są zachęcani do pobrania pliku APK, przedstawianego jako aplikacja do złożenia zamówienia lub uzyskania szczegółów — przynęta zaprojektowana tak, by wydawała się praktyczna i nieszkodliwa. Schemat brzmi znajomo: atrakcyjna okazja i aplikacja do szybkiego zamówienia.

Po instalacji trojan cicho zakotwicza się w systemie i zaczyna działać, korzystając z infrastruktury dowodzenia i kontroli opartej na Telegramie. Porozumiewa się też z serwerami Firebase, by odbierać polecenia i przesyłać wykradzione dane — połączenie, które utrudnia wykrycie i zakłócenie operacji, bo opiera się na powszechnie wykorzystywanych platformach. Wykorzystanie popularnych usług jako tła komunikacji to sprytny sposób na utrudnienie obrony.

Głównym celem jest kradzież finansowa. deVixor skanuje wiadomości SMS na zainfekowanym urządzeniu, szukając powiadomień bankowych i jednorazowych kodów, a także pozyskuje numery kart oraz salda kont. Atakujący wykorzystują WebView i wstrzyknięcia JavaScript, by wyświetlać przekonujące fałszywe strony bankowości, na których ofiary nieświadomie wpisują swoje dane logowania.

Najbardziej niepokojący jest wbudowany moduł wymuszeń. Na polecenie operatorów złośliwy kod potrafi zablokować ekran urządzenia i wyświetlić żądanie płatności kryptowalutą TRON — 50 TRX — na wskazany adres. Telefon pozostaje niedostępny do czasu spełnienia żądania, co zamienia kradzież danych w pełnoprawny szantaż. To połączenie technik pokazuje, jak łatwo kradzież informacji przeradza się w presję na ofiarę.

Pojawienie się deVixora pokazuje, że cyberprzestępcy ciągle dopracowują swoje narzędzia, czyniąc platformy ataku bardziej elastycznymi i groźniejszymi. Eksperci radzą użytkownikom Androida uważnie sprawdzać źródła aplikacji i unikać instalowania plików APK z niesprawdzonych stron — zwłaszcza gdy oferta wygląda aż nazbyt atrakcyjnie.