CSIRT KNF bije na alarm: ta aplikacja wyczyści Ci konto. Ludzie instalują i zostają bez pieniędzy

Na początku lutego 2026 roku Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego – CSIRT KNF – opublikował ostrzeżenie przed nową falą fałszywych aplikacji mobilnych na Androida. Tym razem przestępcy podszywają się pod SGB Bank, mBank, Bank Millennium, Credit Agricole 24, ING Bank Śląski i Alior Bank. Mechanizm jest ten sam we wszystkich przypadkach: aplikacja wygląda jak narzędzie zabezpieczające, a w rzeczywistości oddaje przestępcom pełną kontrolę nad telefonem i dostęp do konta bankowego.

Nazwa bez polskich liter – pierwszy sygnał, że coś jest nie tak

Fałszywe aplikacje łączy jeden charakterystyczny szczegół widoczny już w samej nazwie: brak polskich znaków diakrytycznych. Aplikacja nazywa się „Klucz Bezpieczenstwa SGB” zamiast poprawnego „Klucz Bezpieczeństwa” – brakuje „ń” i „ę”. To techniczny ślad pozostawiony przez twórców złośliwego oprogramowania, którzy prawdopodobnie działają spoza Polski i nie zadbali o poprawną lokalną nazwę. Kto czyta dokładnie – ma szansę to dostrzec zanim jest za późno. Kto klika szybko – nie ma.

Kampania z lutego 2026 roku nie jest pierwszą tego rodzaju. W grudniu 2025 r. CSIRT KNF alarmował o identycznie skonstruowanej aplikacji „Klucz bezpieczeństwa Pekao”, wymierzonej w 7 milionów klientów tego banku. Wcześniej, w październiku 2025 r., pojawiła się inna fałszywa aplikacja SGB – z nieco innym mechanizmem działania, opartym na wyłudzaniu danych karty przez moduł NFC. Schemat „Klucz Bezpieczenstwa” pojawia się w kolejnych odsłonach regularnie, za każdym razem z nową listą atakowanych banków.

Skąd pobierają te aplikacje – i dlaczego ludzie na to wchodzą

Fałszywe aplikacje nie trafiają do oficjalnego sklepu Google Play. Przestępcy rozpowszechniają je innymi kanałami: przez płatne reklamy w mediach społecznościowych i wynikach wyszukiwania, kanały na popularnym komunikatorze oraz strony internetowe podszywające się pod serwisy bankowe. Reklamy są często przygotowane starannie – mają logotypy banku, profesjonalną grafikę i komunikat sugerujący, że bank „wprowadza nowe zabezpieczenie” i klienci są zobowiązani do instalacji dodatkowej aplikacji.

To jest właśnie najgroźniejszy element całego schematu. Ofiara nie szuka złośliwego oprogramowania – trafia na nie, szukając bezpieczeństwa. Komunikat „zainstaluj klucz bezpieczeństwa do swojego konta” brzmi wiarygodnie, bo banki rzeczywiście coraz częściej wdrażają aplikacje do uwierzytelniania. Ktoś, kto nie wie, że bank nigdy nie rozsyła takich poleceń przez reklamy ani komunikatory, ma realny powód, żeby kliknąć.

Co dzieje się po instalacji – krok po kroku

Aplikacja pobiera się spoza Google Play, co wymaga jednorazowego zezwolenia na instalację z nieznanych źródeł. To pierwszy moment, w którym Android wyświetla ostrzeżenie – ale wiele osób klika „zezwól” bez zastanowienia, traktując komunikat jako rutynowy techniczny krok.

Po uruchomieniu aplikacja nie robi nic podejrzanego. Wygląda jak narzędzie bankowe, wyświetla logo banku i informuje o rzekomej konieczności pobrania dodatkowego elementu – „Komponentu Play”. Nazwa celowo sugeruje powiązanie z usługami Google, co ma uwiarygodnić całą procedurę. W rzeczywistości „Komponent Play” to drugi pakiet złośliwego oprogramowania.

Po zainstalowaniu „Komponentu” aplikacja prosi o dostęp do Ułatwień Dostępu (Accessibility Services) – funkcji systemu Android zaprojektowanej z myślą o osobach z niepełnosprawnościami, umożliwiającej aplikacjom wykonywanie działań w imieniu użytkownika. CSIRT KNF wyjaśnia na swojej stronie, że ta funkcja pozwala aplikacji na odczytywanie zawartości wyświetlanych okien, wchodzenie z nimi w interakcję, a nawet samodzielne nadawanie sobie kolejnych uprawnień.

Kiedy użytkownik przyzna ten dostęp – a aplikacja wytrwale go o to prosi, blokując działanie do momentu akceptacji – przestępcy mają otwartą drogę do wszystkiego. Badania CSIRT KNF wykazały, że fałszywa aplikacja może uruchamiać zdalny dostęp do urządzenia przez VNC – technologię pozwalającą przestępcy dosłownie widzieć ekran telefonu ofiary i nim sterować w czasie rzeczywistym. Oznacza to przechwytywanie haseł, kodów SMS do autoryzacji przelewów, danych logowania do bankowości – i wykonywanie przelewów bez wiedzy właściciela telefonu.

Dlaczego to łamie 2FA i co z tego wynika

Dwuskładnikowe uwierzytelnianie (2FA) – czyli kody SMS wysyłane przez bank przy logowaniu lub zatwierdzaniu przelewu – działa tylko tak długo, jak długo telefon jest bezpieczny. Jeśli złośliwe oprogramowanie siedzi na tym samym urządzeniu, które odbiera SMS-y, przechwytuje kody zanim właściciel zdąży je przeczytać. Przestępca zna hasło (wyłudzone przez nakładkę na ekran lub przechwycone przy logowaniu) i ma kod SMS – ma więc komplet danych do przeprowadzenia przelewu.

W przypadku zdalnego dostępu przez VNC sytuacja jest jeszcze prostsza: przestępca po prostu loguje się do bankowości za ofiarę, używając jej telefonu jak własnego – tyle że robi to ze swojego miejsca na świecie, w środku nocy, gdy właściciel śpi.

Jak sprawdzić, czy telefon jest zainfekowany

CSIRT KNF wskazuje na kilka sygnałów, które mogą świadczyć o obecności złośliwego oprogramowania: szybsze niż zwykle rozładowywanie baterii, niespodziewane zużycie danych mobilnych oraz aplikacje w ustawieniach, których właściciel telefonu nie rozpoznaje.

Najważniejsza weryfikacja to sprawdzenie, co ma dostęp do Ułatwień Dostępu. W Androidzie ścieżka to zazwyczaj: Ustawienia – Ułatwienia dostępu – Zainstalowane aplikacje (lub zbliżona, zależnie od producenta urządzenia). Jeśli na liście widnieją aplikacje, których właściciel nie instalował świadomie – to sygnał alarmowy.

Osoby, które zainstalowały podejrzaną aplikację lub mają uzasadnione obawy co do bezpieczeństwa telefonu, powinny natychmiast: usunąć fałszywą aplikację i „Komponent Play”, zablokować karty płatnicze, zmienić hasła do bankowości z innego urządzenia i skontaktować się z bankiem. W uzasadnionych przypadkach przywrócenie ustawień fabrycznych telefonu jest jedynym pewnym sposobem usunięcia złośliwego oprogramowania.

Co to oznacza dla Ciebie?

Zanim zainstalujesz jakąkolwiek aplikację związaną z bankowością, sprawdź jej nazwę pod kątem literówek i brakujących polskich znaków, wejdź na Google Play i zweryfikuj, czy ta sama aplikacja widnieje tam jako oficjalna – a jeśli widzisz link do pobrania z innego miejsca, z reklamy lub komunikatora, nie klikaj, bo nawet jedno zezwolenie dla „Komponentu Play” może oznaczać utratę całych oszczędności.

Żaden bank działający w Polsce nie rozsyła poleceń instalacji aplikacji przez reklamy w mediach społecznościowych, komunikatory, SMS ani e-mail z linkiem do pobrania pliku spoza Google Play. Oficjalne aplikacje bankowe dostępne są wyłącznie w sklepie Google Play lub App Store – i tylko stamtąd powinny być pobierane. Jeśli cokolwiek zachęca do instalacji „klucza bezpieczeństwa” z innego miejsca, to nie jest komunikat banku.