Hackeři zneužívají aplikace ChatGPT jako lákavou návnadu a šíří skrz ně zrádný virus

Útočníci tentokrát nesáhli po pochybném odkazu v SMS ani po podvržené webové stránce. Složili dohromady něco mnohem přesvědčivějšího: zneužili důvěru ve tři značky naráz: Google, OpenAI a Meta. Výsledkem je phishingová kampaň, která se šíří přes legitimní distribuční nástroj Firebase App Distribution a cílí na každého, kdo spravuje facebookový nebo reklamní účet. Bezpečnostní výzkumníci ze SpiderLabs kampaň zachytili už v březnu 2026, v dubnu na ni znovu upozornilo Zimperium.

Jak útok funguje krok za krokem

Celý řetězec začíná nevyžádaným e-mailem. Vypadá jako pozvánka k testování nové verze ChatGPT, a protože přichází přes Firebase, tedy přes reálný nástroj Googlu určený pro rozesílání předprodukčních sestavení aplikací, nepůsobí podezřele. Oběť klikne, dostane se na testovací stránku a nainstaluje APK mimo Google Play.

Po spuštění aplikace nezobrazí žádný chatbot. Místo toho se objeví přihlašovací obrazovka Facebooku, falešná, ale vizuálně nerozlišitelná od pravé. Jakmile uživatel zadá e-mail a heslo, údaje putují rovnou k útočníkovi. Ten s nimi převezme účet, získá přístup k napojeným reklamním kampaním a platebním metodám.

Veřejně doložené škodlivé balíčky nesou názvy „com.OpenAIGPTAds“, „com.opengpt.ads“ a doprovodný „com.meta.adsmanager“. Žádný z nich se neobjevil v oficiálním Google Play.

Proč je kampaň nebezpečnější než běžný malware

Většina mobilního phishingu spoléhá na jeden trik: podvržený odkaz, falešný web, pochybné APK z neznámého serveru. Tady útočníci odstranili hned několik varovných signálů najednou:

• Distribuční kanál vypadá legitimně – Firebase App Distribution je skutečná služba Googlu, kterou vývojáři běžně používají pro beta testování.
• Značka ChatGPT budí důvěru – oficiální aplikace má přes miliardu stažení, lidé jsou zvyklí ji instalovat.
• Cíl je vysoce hodnotný – nejde o obtěžující adware, ale o přímý přístup k firemním účtům s reálnými rozpočty.

Podle Zimperium Global Mobile Threat Reportu se aplikace nainstalované mimo oficiální obchody nacházejí na 23,5 % firemních zařízení. Každé takové zařízení je potenciální vstupní bod.

Jak poznat pravou aplikaci od falešné

Rozlišení je jednoduché, pokud víte, kam se dívat:

Podobně pravý Meta Ads Manager nese balíček „com.facebook.adsmanager“ od Meta Platforms, Inc., nikoli „com.meta.adsmanager“ z testovací pozvánky. OpenAI na svém centru nápovědy výslovně doporučuje stahovat aplikace výhradně z oficiálních zdrojů publikovaných přímo OpenAI.

Co dělat, pokud jste podezřelou aplikaci už nainstalovali

1. Okamžitě ji odinstalujte. Pokud to nejde, restartujte telefon do nouzového režimu a odstraňte nedávno stažené aplikace.
2. Spusťte kontrolu přes Google Play Protect, kterou najdete v nastavení Google Play.
3. Pokud jste v aplikaci zadali přihlašovací údaje k Facebooku nebo Metě, změňte heslo z jiného zařízení a zapněte dvoufaktorové ověření.
4. Zkontrolujte aktivitu svého reklamního účtu: neoprávněné kampaně nebo změny platebních metod jsou první známkou převzetí.

Pro budoucí ochranu: na podporovaných zařízeních zapněte Advanced Protection, která mimo jiné blokuje instalaci aplikací z neznámých zdrojů a drží Play Protect trvale aktivní.

Nejde jen o Android

Výzkumníci ze SpiderLabs již začátkem března 2026 popsali obdobnou kampaň cílící na uživatele iPhonů, s falešnými aplikacemi ChatGPT a Gemini distribuovanými přímo přes App Store. Cíl byl totožný: krádež facebookových přihlašovacích údajů. Veřejně potvrzené české zasažení se nám zatím nepodařilo dohledat, ale distribuční mechanismus přes e-mailové pozvánky nemá geografické omezení.

Nejlepší obrana zůstává ta nejjednodušší: pokud vám někdo e-mailem nabízí „exkluzivní beta verzi ChatGPT“, zavřete zprávu. Pravá aplikace žádnou pozvánku nepotřebuje, je volně ke stažení v obchodě, kde jste ji vždycky hledali.

Zdroj: Mobify.cz - Váš párťák ve světě elektroniky

Autor: Oliver Cerman