Jak se skrytý malware v Androidu projevuje v praxi
U Androidu je problém v tom, že škodlivý kód často neběží jako klasický „virus“, ale jako aplikace, služba v pozadí nebo zneužitá systémová oprávnění. Typický scénář je jednoduchý: uživatel si nainstaluje zdánlivě neškodnou aplikaci, která po udělení přístupu ke kontaktům, SMS, notifikacím nebo službám usnadnění začne sbírat data, zobrazovat reklamy nebo si sama přidá další komponenty. Podle bezpečnostních firem se nejčastěji setkáte s adwarem, spywarem, bankovním trojanem a tzv. stalkerware, tedy softwarem pro tajné sledování.
První varovné signály bývají měřitelné. Pokud baterie klesá o desítky procent rychleji než dřív bez změny používání, telefon se zahřívá i v klidu, roste spotřeba mobilních dat nebo se objevují neznámé odchozí požadavky, je důvod ke kontrole. U některých infekcí bývá vidět i skok v využití úložiště, protože malware ukládá cache, stahuje payloady nebo vytváří falešné soubory.
- Nadměrná spotřeba baterie v Nastavení → Baterie
- Neobvyklá datová aktivita v Nastavení → Síť a internet → Využití dat
- Reklamy mimo prohlížeč a přesměrování webu
- Neznámé aplikace, ikony bez názvu nebo aplikace bez loga
- Podezřelá oprávnění, zejména SMS, přístupnost, správce zařízení, instalace neznámých aplikací
Kde začít: rychlá kontrola telefonu během 10 minut
Nejprve je dobré udělat rychlý audit bez instalace dalších aplikací. Otevřete Nastavení → Aplikace a projděte seznam podle poslední instalace. Hledejte aplikace, které jste si vědomě nestáhli, nebo aplikace s generickými názvy typu „System Service“, „Update“, „Cleaner“ či „Security“. Tyto názvy nejsou samy o sobě důkazem infekce, ale u neznámého vydavatele jsou častým signálem podvodu.
Pak zkontrolujte správce zařízení a služby usnadnění. Malware je často využívá k tomu, aby se nedal snadno odinstalovat, mohl číst obsah obrazovky nebo potvrzovat akce bez vašeho vědomí. V Androidu najdete správce zařízení obvykle v Nastavení → Zabezpečení → Aplikace správce zařízení nebo v podobné sekci podle výrobce. Pokud je tam aktivní aplikace, kterou neznáte, je to velmi podezřelé.
Stejně důležité je projít oprávnění. V Androidu 12 a novějším vidíte přesnější přehled v položce Soukromí. Pozor si dejte hlavně na aplikace, které mají přístup k SMS, oznámením, mikrofonu, fotoaparátu, poloze, přístupnosti a instalaci neznámých aplikací. U běžné kalkulačky nebo svítilny je takový rozsah práv zbytečný.
Jak využít vestavěné bezpečnostní funkce Androidu a Play Protect
Android má několik nástrojů, které vám pomohou odhalit část hrozeb bez dalších aplikací. Základ je Google Play Protect, který kontroluje aplikace z Obchodu Play i některé aplikace mimo něj. Najdete ho v aplikaci Google Play → profil → Play Protect. Vyplatí se spustit ruční kontrolu, zejména pokud se telefon chová podezřele. Play Protect sice nezachytí vše, ale dokáže odhalit známé varianty malwaru a rizikové aplikace.
Další užitečná funkce je Nouzový režim. V něm se spustí jen systém a předinstalované aplikace, takže snadno poznáte, zda problém způsobuje některá stažená aplikace. Pokud se po zapnutí nouzového režimu reklamy, přehřívání nebo podivné přesměrování přestanou objevovat, je velmi pravděpodobné, že jde o aplikaci třetí strany. Nouzový režim zapnete obvykle dlouhým podržením tlačítka vypnutí a následným podržením volby „Vypnout“, podle výrobce se postup může mírně lišit.
U zařízení s vyšší úrovní podezření pomůže i kontrola instalace z neznámých zdrojů. V Androidu je možné povolit instalaci APK pro jednotlivé aplikace, například pro prohlížeč nebo správce souborů. Pokud má toto oprávnění aplikace, která ho nepotřebuje, je lepší ho okamžitě vypnout. Z praxe: mnoho škodlivých kampaní začíná přes falešný update aplikace, který uživatele přesměruje na APK mimo Play Store.
Pokročilejší diagnostika: co zkontrolovat přesněji
Jestli chcete postupovat systematicky, zaměřte se na čtyři oblasti: procesy, síť, oprávnění a integritu aplikací. V běžném Androidu bez rootu nemáte detailní přístup ke všem procesům, ale i tak lze hodně zjistit. V Nastavení → Baterie a Využití dat sledujte aplikace, které mají vysokou aktivitu v době, kdy telefon téměř nepoužíváte. Pokud například aplikace s minimálním využitím na obrazovce spotřebuje 15–20 % baterie za noc, je to podezřelé.
Na síťovou analýzu se hodí nástroje jako NetGuard nebo RethinkDNS. Tyto aplikace fungují jako lokální VPN a umožňují blokovat provoz po aplikacích, případně vidět, které aplikace se snaží připojovat na internet. Když například jednoduchá hra komunikuje s desítkami domén v různých zemích, jde o důvod k další kontrole. Pro technicky zdatnější uživatele je užitečný i PCAPdroid, který zachytává síťový provoz a umožní pozdější analýzu.
Pro kontrolu podezřelých APK lze použít VirusTotal. Stačí nahrát instalační soubor nebo jeho hash a porovnat detekce více antivirových enginů. Je ale důležité číst výsledky kriticky: jedna detekce z mnoha nemusí znamenat infekci, ale opakované shody na trojanském chování už jsou silný signál. Pokud chcete jít dál, můžete APK otevřít v nástroji JADX a podívat se na podezřelé části kódu, například práci s SMS, Accessibility Service nebo skryté stahování dalších souborů.
Odstranění hrozby bez ztráty dat: praktický postup
Jakmile identifikujete podezřelou aplikaci, neodinstalovávejte ji impulzivně, pokud má správce zařízení nebo přístupnost. Nejprve jí odeberte tato oprávnění, pak ji teprve smažte. Postup bývá: Nastavení → Zabezpečení → Správci zařízení, deaktivovat, potom Nastavení → Přístupnost a vypnout službu, a až nakonec Aplikace → Odinstalovat. U některých variant malwaru je třeba nejdřív restart do nouzového režimu, jinak se aplikace brání odstranění.
Pokud se aplikace nedá odstranit nebo se po restartu vrací, je vhodné provést zálohu důležitých dat a následně tovární reset. To je v praxi nejspolehlivější způsob, jak odstranit odolnější infekce. Po resetu neobnovujte slepě kompletní zálohu aplikací, ale vraťte jen kontakty, fotky a dokumenty. U aplikací je lepší instalovat je ručně z oficiálního obchodu a průběžně kontrolovat oprávnění.
Po vyčištění změňte hesla k důležitým účtům, ideálně z jiného, bezpečného zařízení. Aktivujte dvoufázové ověření pro Google účet, e-mail, banku a sociální sítě. Pokud jste měli v telefonu bankovní aplikaci nebo správce hesel, považujte zařízení za kompromitované a zkontrolujte i přihlášené relace v účtech. U bankovního trojanu je důležité reagovat rychle, protože cílem bývá zachycení SMS kódů nebo přesměrování potvrzovacích obrazovek.
Jak snížit riziko, že se malware vrátí
Prevence je v Androidu zásadní, protože většina infekcí využívá lidskou chybu: instalaci APK z webu, kliknutí na falešný update nebo nadměrná oprávnění. Držte se několika pravidel. Aktualizujte systém i aplikace, protože bezpečnostní záplaty často opravují zneužitelné chyby. V roce 2023 a 2024 Google i výrobci pravidelně vydávali opravy pro zranitelnosti, které se v praxi používaly k eskalaci oprávnění nebo obcházení ochrany.
- Instalujte aplikace primárně z Google Play nebo ověřených zdrojů výrobce.
- Pravidelně kontrolujte oprávnění aplikací a omezte přístup k SMS, poloze a mikrofonu.
- Zapněte Play Protect a občas spusťte ruční kontrolu.
- Nepovolujte instalaci z neznámých zdrojů bez jasného důvodu.
- Pro bankovnictví používejte oddělený, čistý telefon nebo alespoň velmi přísný režim instalací.
Jestli chcete kontrolu dělat pravidelně, nastavte si měsíční rutinu: projít aplikace, oprávnění, spotřebu baterie a dat. U firemních zařízení je vhodné doplnit i MDM řešení nebo bezpečnostní politiku, která omezí sideloading a vynutí aktualizace. Skrytý malware se totiž nejlépe odhaluje kombinací signálů, ne jediným testem: podezřelé oprávnění, nezvyklý síťový provoz a anomálie v baterii dohromady dávají mnohem silnější důkaz než jedna reklama navíc.