Masz tę aplikację? Twoje konto w banku jest właśnie czyszczone. Pilny alarm rządowej agencji

Myślisz, iż dbasz o bezpieczeństwo, instalując dodatkowe „zabezpieczenia” na telefonie? Cyberprzestępcy właśnie na to liczą. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego (CSIRT KNF) wydał krytyczne ostrzeżenie. W sieci krążą fałszywe aplikacje, które udają profesjonalne klucze sprzętowe do autoryzacji transakcji. jeżeli masz je na swoim telefonie, hakerzy widzą wszystko, co robisz – łącznie z Twoim hasłem do konta. Sprawdź listę zagrożonych banków i zobacz, jak rozpoznać cyfrowego konia trojańskiego.

Fot. Shutterstock / Warszawa w Pigułce

Złodziej w przebraniu ochroniarza. Nowa metoda oszustów

Do tej pory przywykliśmy do fałszywych SMS-ów o dopłacie do paczki czy telefonów od „pracownika banku”. Jednak metoda, którą wykryli eksperci z CSIRT KNF w lutym 2026 roku, jest znacznie bardziej podstępna. Uderza ona w osoby, które są świadome zagrożeń i chcą chronić swoje finanse.

Oszuści stworzyli złośliwe oprogramowanie, które podszywa się pod mobilne klucze bezpieczeństwa. Są to aplikacje, które rzekomo mają być niezbędne do „nowego sposobu logowania” lub „zwiększenia limitów transakcyjnych”. Ofiara, chcąc postępować zgodnie z rzekomymi wytycznymi banku, sama instaluje wirusa, myśląc, iż wgrywa certyfikowane narzędzie zabezpieczające.

Zagrożenie dotyczy klientów największych instytucji finansowych w Polsce. Oszuści przygotowali fałszywe nakładki graficzne udające produkty powiązane m.in. z:

• ING Bankiem Śląskim,
• mBankiem,
• Bankiem Millennium,
• Alior Bankiem,
• Credit Agricole,
• SGB Bankiem.

Jak dochodzi do infekcji? Nie klikaj w reklamy na Facebooku

Największym problemem jest kanał dystrybucji tych wirusów. Nie znajdziesz ich w oficjalnym sklepie Google Play (choć i tam zdarzają się wpadki). Przestępcy promują swoje „klucze” poprzez płatne kampanie reklamowe w mediach społecznościowych oraz w wyszukiwarce Google.

Scenariusz ataku jest następujący: przeglądasz internet i widzisz reklamę „Twój bank wprowadza obowiązkowe klucze bezpieczeństwa. Pobierz, aby nie stracić dostępu do konta”. Link prowadzi do fałszywej strony, która wygląda identycznie jak witryna Twojego banku. Tam zostajesz poproszony o pobranie pliku instalacyjnego (z rozszerzeniem .apk) spoza oficjalnego sklepu. jeżeli to zrobisz i zignorujesz ostrzeżenia systemowe Androida – jesteś w pułapce.

„Ułatwienia dostępu” – klucz do Twojego cyfrowego domu

Dlaczego te aplikacje są tak groźne? Ponieważ po zainstalowaniu proszą o jedno, najważniejsze uprawnienie: Dostęp do ułatwień (Accessibility Services).

Teoretycznie jest to funkcja stworzona dla osób z niepełnosprawnościami (np. niedowidzących), pozwalająca na czytanie zawartości ekranu czy automatyczne klikanie w przyciski. W rękach hakera jest to broń atomowa. jeżeli przyznasz złośliwej aplikacji to uprawnienie, wirus może:
1. Czytać wszystko, co wpisujesz: w tym loginy i hasła do prawdziwej aplikacji bankowej.
2. Przechwytywać kody SMS: i ukrywać powiadomienia o ich przyjściu, więc choćby nie wiesz, iż ktoś autoryzuje przelew.
3. Klikać za Ciebie: Wirus może sam „kliknąć” zgodę na przelew w tle, wygasić ekran, byś tego nie widział, lub uniemożliwić Ci odinstalowanie aplikacji.

Czym różni się prawdziwy klucz od fałszywego?

Prawdziwe klucze bezpieczeństwa (takie jak YubiKey wspomniane w raporcie) to fizyczne urządzenia wpinane do portu USB, a nie aplikacje pobierane z dziwnych stron. Banki w Polsce korzystają z autoryzacji mobilnej wbudowanej w ich oficjalne aplikacje. Żaden bank nie wymaga instalowania oddzielnej, „tajnej” aplikacji do logowania pobieranej z linku w SMS-ie czy na Telegramie.

Co zrobić, jeżeli zainstalowałeś taką aplikację?

Jeśli podejrzewasz, iż masz na telefonie fałszywy klucz bezpieczeństwa, musisz działać błyskawicznie.

1. Odłącz internet: Wyłącz Wi-Fi i dane komórkowe, by odciąć hakerom zdalny dostęp.
2. Przywróć ustawienia fabryczne: Zwykłe „odinstalowanie” może nie pomóc, bo wirusy te głęboko ingerują w system. Pełny reset telefonu jest najbezpieczniejszy (pamiętaj, iż stracisz dane, ale odzyskasz bezpieczeństwo).
3. Zmień hasła: Z innego urządzenia (komputera, tabletu) zmień hasła do banku, poczty i mediów społecznościowych.
4. Zadzwoń na infolinię: Poinformuj bank o incydencie i poproś o sprawdzenie, czy nie podpięto do Twojego konta nowych, zaufanych urządzeń.

Co to oznacza dla Ciebie?
Zrób natychmiastowy przegląd swojego telefonu. Wejdź w Ustawienia -> Aplikacje i sprawdź, czy nie masz tam niczego, co ma w nazwie „Security Key”, „Klucz Bankowy” lub podobne, a czego sam świadomie nie szukałeś w Google Play. Pamiętaj: Twój bank nigdy nie wyśle Ci linku do pobrania aplikacji w SMS-ie. Każda taka wiadomość to próba kradzieży. jeżeli chcesz kupić fizyczny klucz YubiKey, rób to tylko w autoryzowanych sklepach, a nie przez linki z „promocjami” na Facebooku.

Podstawa prawna

1. Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2023 r. poz. 2488):
– Art. 50: Bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.

2. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2023 r. poz. 913):
– Reguluje zadania CSIRT KNF w zakresie monitorowania zagrożeń cybernetycznych w sektorze finansowym i wydawania ostrzeżeń dla użytkowników.

3. Kodeks karny (art. 267 i 287):
– Bezprawne uzyskanie informacji (haking) oraz oszustwo komputerowe są przestępstwami zagrożonymi karą więzienia do lat 5.