BTC 238 383 zł $63 033 −1.82%ETH 6 740 zł $1 782 −1.45%SOL 288,95 zł $76.40 −0.89%Strach/Chciwość 28 Strachmigawka · 14.07.2026
FirstBlock
Bezpieczeństwo

Fałszywa aplikacja „Tutaj Dom” okrada portfele. CERT ostrzega przed crypto clipperem

W kampanii wymierzonej w polskich użytkowników Androida złośliwy loader instaluje trojana, którego moduł podmienia w schowku adresy portfeli krypto na należące do przestępców.

Zespół CERT Orange Polska opisał 6 lipca 2026 r. kampanię, która precyzyjnie celuje w polskich użytkowników. Przestępcy podszywają się pod serwis wynajmu nieruchomości i namawiają do pobrania aplikacji „Tutaj Dom” w postaci pliku APK spoza oficjalnego sklepu. To klasyczny scenariusz socjotechniczny dopasowany do polskich realiów – nazwa usługi, język strony i pretekst są przygotowane tak, by nie wzbudzać podejrzeń.

Pobrany plik nie zawiera od razu docelowego malware. Rolę pierwszego etapu pełni Brokewell Android Loader – dropper, który dostarcza właściwy ładunek, w tym przypadku trojana zdalnego dostępu Glitch SPY obsługującego ponad 70 komend. Wśród jego modułów jest crypto clipper: mechanizm, który monitoruje zawartość schowka i rozpoznaje adresy portfeli kryptowalut. Gdy wykryje taki adres, automatycznie podmienia go na adres kontrolowany przez atakujących. Skutek? Kopiujesz adres odbiorcy, wklejasz go w aplikacji giełdy lub portfela i – jeśli nie zweryfikujesz go ponownie – wysyłasz środki wprost do przestępcy.

Skala zjawiska jest poważna. Sam CERT Polska w 2024 r. wpisał na Listę Ostrzeżeń 52 131 domen związanych z fałszywymi inwestycjami – to 55 proc. wszystkich domen na tej liście. Analitycy zwracają uwagę na trend: klasyczne bankery androidowe ustępują miejsca wielofunkcyjnym platformom zdalnego dostępu, które pozwalają elastycznie łączyć kradzież danych logowania, przejmowanie kont i wyłudzenia krypto. Kampanie coraz częściej trafiają do ofiar nie tylko przez reklamy, lecz także przez wyniki wyszukiwarek i rekomendacje chatbotów AI.

Co powinno zapalić czerwoną lampkę? Prośba o pobranie aplikacji z pliku APK przesłanego linkiem albo ze strony, do której trafiłeś z reklamy lub wyniku wyszukiwania. Legalny serwis nieruchomości nie każe instalować „dedykowanej apki” spoza Google Play, by obejrzeć ofertę mieszkania. Podejrzana jest też każda aplikacja, która przy instalacji domaga się dostępu do usług ułatwień dostępu (Accessibility) – to właśnie ten mechanizm pozwala trojanom takim jak Glitch SPY przejąć kontrolę nad ekranem i schowkiem.

Najważniejsza w tej historii jest mechanika ataku na krypto. Transakcje w blockchainie są nieodwracalne – po zatwierdzeniu przelewu na podmieniony adres nie ma „cofnięcia” ani infolinii, która zwróci środki. Dlatego jedyną realną obroną jest dyscyplina po stronie użytkownika: instalowanie aplikacji wyłącznie z oficjalnych źródeł i każdorazowa weryfikacja adresu odbiorcy.

Co zrobić po instalacji podejrzanego APK

Samo usunięcie ikony aplikacji może nie wystarczyć, jeśli loader nadał trojanowi uprawnienia ułatwień dostępu lub administratora urządzenia. Odłącz telefon od sieci, nie loguj się z niego do banku ani giełdy i użyj innego, zaufanego urządzenia do zmiany haseł. Unieważnij aktywne sesje, klucze API i urządzenia zaufane, a adresy wypłat sprawdź w ustawieniach konta.

Jeżeli złośliwa aplikacja mogła odczytać ekran lub schowek, potraktuj wpisane dane jako przejęte. Zachowaj nazwę pliku, adres strony i czas instalacji do zgłoszenia CERT Polska. Przy podejrzeniu transferu skontaktuj się z giełdą oficjalnym kanałem i podaj identyfikator transakcji, ale nie płać osobom obiecującym cofnięcie nieodwracalnego przelewu.

Co to oznacza dla Ciebie

Co to oznacza dla Ciebie: Nigdy nie instaluj aplikacji z plików APK przesłanych w wiadomościach czy z losowych stron – korzystaj z oficjalnych sklepów. Przed każdą wypłatą krypto sprawdź pełny adres odbiorcy, a nie tylko jego początek i koniec; najlepiej wyślij najpierw małą kwotę testową. Włącz weryfikację dwuetapową i „whitelistę” adresów wypłat na giełdzie, jeśli platforma to oferuje. Jeśli podejrzewasz, że Twój telefon ma clippera, wstrzymaj transakcje, przeskanuj urządzenie i rozważ przywrócenie ustawień fabrycznych – a adresy wklejaj dopiero po ponownej, ręcznej kontroli.

Treść informacyjna, nie stanowi porady inwestycyjnej. Przepisy i dostępność usług zmieniają się — sprawdzaj u źródła.