Nowa metoda oszustów. Fałszywe klucze bankowe przejmują hasła i konta

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego (CSIRT KNF) wydał krytyczne ostrzeżenie dotyczące nowej, niezwykle podstępnej metody cyberataku. Oszuści wykorzystują złośliwe oprogramowanie, które podszywa się pod oficjalne mobilne klucze bezpieczeństwa banków.

Atak ten jest szczególnie niebezpieczny, ponieważ celuje w świadomych użytkowników, którzy aktywnie poszukują dodatkowych form zabezpieczeń. Instalując fałszywą aplikację, która rzekomo ma służyć do „nowego sposobu logowania” lub „zwiększenia limitów transakcyjnych”, ofiara dobrowolnie oddaje hakerom pełną kontrolę nad swoim smartfonem i, co za tym idzie, nad kontem bankowym.

Mechanizm działania jest wyrafinowany: po instalacji wirus prosi o dostęp do kluczowych uprawnień systemowych, a następnie monitoruje wszystkie działania użytkownika, w tym wpisywane hasła i kody autoryzacyjne SMS. Ostrzeżenie dotyczy klientów największych instytucji finansowych w Polsce, co czyni to zagrożenie jednym z najpoważniejszych w sektorze bankowości mobilnej w 2025 roku. CSIRT KNF apeluje o natychmiastową weryfikację aplikacji zainstalowanych na urządzeniach mobilnych.

Jak działa cyfrowy koń trojański? Scenariusz ataku krok po kroku

Tradycyjne metody oszustw, takie jak fałszywe SMS-y o dopłacie do paczki, powoli tracą na skuteczności. Przestępcy przenieśli się tam, gdzie szukają ich świadomi użytkownicy – do płatnych reklam w mediach społecznościowych oraz wyszukiwarkach internetowych. To właśnie tam rozpoczyna się nowa fala ataków.

Scenariusz jest zawsze podobny: użytkownik przegląda Facebooka lub Google i natrafia na reklamę z dramatycznym komunikatem, np. „Twój bank wprowadza obowiązkowe klucze bezpieczeństwa. Pobierz, aby nie stracić dostępu do konta”. Link prowadzi do strony, która wizualnie jest niemal identyczna jak oficjalna witryna banku. W tym miejscu ofiara jest nakłaniana do pobrania pliku instalacyjnego z rozszerzeniem .apk, czyli spoza oficjalnego sklepu Google Play.

Instalowanie aplikacji spoza Google Play jest kluczowym błędem. System Android zazwyczaj wyświetla ostrzeżenie o potencjalnym ryzyku, ale ofiara, przekonana, że postępuje zgodnie z wymogami banku, ignoruje te komunikaty. W ten sposób złośliwe oprogramowanie trafia na telefon i rozpoczyna się faza przejęcia kontroli.

Warto podkreślić, że banki w Polsce korzystają z autoryzacji mobilnej wbudowanej w ich oficjalne aplikacje bankowe. Żadna poważna instytucja finansowa nie wymaga od klientów instalowania oddzielnej, „tajnej” aplikacji pobieranej z linku w SMS-ie, na Telegramie czy z reklamy w mediach społecznościowych. Autentyczne klucze bezpieczeństwa, jak np. YubiKey, to fizyczne urządzenia, a nie pliki do pobrania.

Uprawnienia „Ułatwienia dostępu” – atomowa broń hakerów

Kluczowym elementem, który czyni tę metodę tak skuteczną, jest żądanie przez złośliwą aplikację dostępu do Ułatwień (Accessibility Services). Jest to funkcja systemu Android stworzona z myślą o osobach z niepełnosprawnościami, umożliwiająca np. odczytywanie zawartości ekranu czy sterowanie interfejsem za pomocą głosu. Dla cyberprzestępców jest to jednak otwarty dostęp do wszystkich danych i operacji na telefonie.

Jeśli użytkownik przyzna fałszywemu kluczowi bezpieczeństwa te uprawnienia, wirus może działać w pełni autonomicznie i niewidocznie dla właściciela telefonu. Zgodnie z analizą CSIRT KNF, konsekwencje przyznania dostępu do Ułatwień są katastrofalne:

• Przechwytywanie danych logowania: Wirus czyta wszystko, co wpisujesz na ekranie, w tym loginy i hasła do prawdziwej aplikacji bankowej, poczty elektronicznej i innych wrażliwych kont.
• Manipulacja kodami SMS: Złośliwe oprogramowanie może przechwytywać i ukrywać powiadomienia o przychodzących kodach autoryzacyjnych, co pozwala hakerom na autoryzowanie przelewów bez Twojej wiedzy.
• Automatyczne operacje w tle: Wirus może sam klikać przyciski, zatwierdzać przelewy, zmieniać ustawienia zabezpieczeń konta, a nawet uniemożliwiać odinstalowanie siebie lub resetowanie urządzenia, często wygaszając ekran, by ukryć swoje działania.

W praktyce oznacza to, że haker nie musi już podszywać się pod pracownika banku ani czekać, aż sam podasz mu hasło – wirus robi to za Ciebie i na Twoim urządzeniu. To radykalnie zwiększa ryzyko utraty oszczędności.

Kogo dotyczy zagrożenie? Lista banków i jak rozpoznać fałszywkę

Oszuści są przygotowani na szeroką skalę działania, tworząc fałszywe nakładki graficzne, które udają produkty powiązane z największymi polskimi instytucjami finansowymi. Ostrzeżenie CSIRT KNF dotyczy klientów, którzy mogą być celowani przez kampanie phishingowe udające:

• ING Bank Śląski
• mBank
• Bank Millennium
• Alior Bank
• Credit Agricole
• SGB Bank

Kluczową zasadą bezpieczeństwa, zgodną z Prawem bankowym (Art. 50), jest zasada ograniczonego zaufania. Banki dokładają szczególnej staranności w zakresie zabezpieczeń, ale odpowiedzialność za instalowane oprogramowanie leży po stronie użytkownika. Jeśli masz wątpliwości, musisz pamiętać o dwóch kluczowych kwestiach:

Po pierwsze, nie instaluj żadnych aplikacji bankowych z linków w reklamach, SMS-ach czy wiadomościach e-mail. Zawsze korzystaj tylko z oficjalnych sklepów (Google Play, App Store) i upewnij się, że aplikacja została opublikowana przez oficjalnego wydawcę (np. „ING Bank Śląski S.A.”, a nie „SecureKey Bank 2025”).

Po drugie, żaden legalny klucz bezpieczeństwa mobilnego nie wymaga dostępu do Ułatwień systemowych, aby działać. Jeśli jakakolwiek aplikacja bankowa, której nie znasz, prosi o to uprawnienie, jest to niemal pewny sygnał, że masz do czynienia ze złośliwym oprogramowaniem. Prawdziwe klucze sprzętowe (np. YubiKey) są fizyczne i działają poprzez port USB lub NFC, a nie jako aplikacja z pliku .apk.

Natychmiastowe kroki: Co zrobić w przypadku podejrzenia infekcji?

Jeśli podejrzewasz, że na Twoim telefonie znajduje się fałszywy klucz bezpieczeństwa lub inne złośliwe oprogramowanie, musisz działać błyskawicznie, aby zminimalizować straty finansowe. Zwykłe odinstalowanie aplikacji może nie wystarczyć, ponieważ wirusy te często głęboko ingerują w system operacyjny.

Oto praktyczna checklista działań, które należy podjąć natychmiast:

1. Odłącz internet: Natychmiast wyłącz Wi-Fi i dane komórkowe (tryb samolotowy). To odetnie hakerom zdalny dostęp do urządzenia i uniemożliwi im autoryzowanie kolejnych przelewów.
2. Zmień hasła: Korzystając z innego, bezpiecznego urządzenia (komputera lub tabletu), zmień hasła do bankowości elektronicznej, poczty e-mail oraz wszystkich ważnych mediów społecznościowych.
3. Zadzwoń do banku: Poinformuj infolinię o incydencie. Poproś o zablokowanie dostępu mobilnego i sprawdzenie, czy do Twojego konta nie podpięto nowych, zaufanych urządzeń, których nie rozpoznajesz.
4. Przywróć ustawienia fabryczne: Aby mieć pewność, że złośliwe oprogramowanie zostało usunięte, konieczny jest pełny reset telefonu do ustawień fabrycznych. Pamiętaj, że wiąże się to z utratą danych, dlatego regularne kopie zapasowe są niezbędne.
5. Weryfikacja aplikacji: W przyszłości regularnie sprawdzaj listę zainstalowanych aplikacji w sekcji Ustawienia -> Aplikacje. Usuń wszystkie programy, które mają podejrzane nazwy (np. „Security Key”, „Klucz Bankowy”) lub których instalacji nie pamiętasz.

Zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa, CSIRT KNF ma za zadanie monitorować i ostrzegać o takich zagrożeniach. Jako użytkownik, musisz jednak pamiętać, że Twoja czujność jest pierwszą i najważniejszą linią obrony przed oszustami, którzy za naruszenie Art. 267 i 287 Kodeksu karnego (bezprawne uzyskanie informacji i oszustwo komputerowe) zagrożeni są karą pozbawienia wolności do lat 5.