Gamifikované útoky: nenech hackera, aby si s tebou hrál
Gamifikované útoky využívají herní principy – odměny, úkoly, ale i pocit „už jen poslední krok“ – aby tě přiměly kliknout, povolit oprávnění, zadat heslo nebo spustit škodlivý příkaz. Článek ukazuje čtyři typické scénáře: clicker malware, dotěrný adware, falešnou CAPTCHA a podvody slibující zdarma herní odměny. Nejde o žádné geniální hackování, ale o promyšlenou manipulaci, která z tvého zařízení dělá zdroj zisku pro útočníka.
Na první pohled to působí jako nevinná hra, užitečná appka nebo rychlá „výhra“ na dosah. Ve skutečnosti ale nejde o zábavu, nýbrž o manipulaci. Gamifikované útoky využívají herní principy – odměny, postup po krocích, časový tlak i pocit „už jen poslední klik“ – aby tě nenápadně přiměly povolit oprávnění, zadat citlivé údaje nebo spustit něco, co bys jinak odmítl. A odměna? Tu získá útočník, ať už ve formě peněz z reklam, ukradených účtů nebo tvých dat. Pojďme se podívat, jaké podoby může taková past mít.
Lvl 1: Clicker malware
Lvl 2: Dotěrný adware
Lvl 3: Free odměny
Lvl 4: Fake CAPTCHA
Lvl 1: Clicker malware
Clicker malware je škodlivá aplikace, která se tváří jako hra nebo užitečný nástroj – například QR čtečka, svítilna, „čistič“ či kamera – ale ve skutečnosti na pozadí otevírá reklamy a automaticky na ně kliká. Útočník tím vydělává, protože reklamní systémy mají dojem, že jde o aktivitu skutečného člověka. Ty za to platíš rychlejším vybíjením baterie, vyšší spotřebou dat a zpomalením telefonu.
Proč je to gamifikované? Aplikace často láká na jednoduchý a atraktivní slib: „premium zdarma“, „light verze“ nebo „boost výkonu“. Všechno působí normálně a problém se často projeví až po čase, aby sis to nespojil s instalací.
"Užitečné" aplikace v Google Play
Společnost McAfee popsala případ, kdy se do Google Play dostala skupina aplikací, které se tvářily jako běžné nástroje, ve skutečnosti však po instalaci fungovaly jako „klikací automaty“ na reklamy. Šlo o 16 aplikací, nejčastěji svítilny, QR čtečky, fotoaparáty, převodníky nebo správce úloh. Dohromady měly přibližně 20 milionů instalací. Po odhalení byly z obchodu odstraněny.
Největší „hvězda“ z celé sady? DxClean se tvářila jako běžný čisticí nástroj pro telefon, který má pomoci s výkonem a údržbou zařízení. Přitom ale patřila k nejstahovanějším aplikacím z celého škodlivého balíčku. O to zrádnější bylo, že na uživatele působila důvěryhodně a navzdory nežádoucímu chování si držela poměrně vysoké hodnocení 4,1 z 5 hvězdiček.
Hry, které klikaly na reklamy
Check Point už dříve popsal kampaň „Judy“, v níž desítky aplikací, převážně her, zneužívaly telefony uživatelů ke generování falešných kliků na reklamy. Nešlo přitom o okrajový problém – odhady mluvily o milionech stažení. Kampaň se dokonce zařadila mezi největší případy reklamního podvodu, které tehdy Google Play zasáhly. Navenek přitom tyto aplikace působily jako běžná zábava a nic nenasvědčovalo tomu, že ve skutečnosti vydělávají útočníkům.
Kdo za nimi stál? Škodlivé aplikace byly spojovány s korejskou společností Kiniwini, která byla na Google Play vedena jako ENISTUDIO corp. Firma přitom běžně vyvíjela mobilní aplikace pro Android i iOS, takže její přítomnost v obchodě nemusela na první pohled působit podezřele.
Co rozhodne výsledek levelu? Kontrola.
Takové aplikace může nenápadně vybíjet baterii, zvyšovat spotřebu dat a zpomalovat telefon, aniž si uvědomíš, co potíže způsobuje. Pamatuj, že ani aplikace z oficiálních obchodů proto nejsou automaticky bezpečné — vždy je dobré ověřit vývojáře, recenze i požadovaná oprávnění
Lvl 2: Dotěrný adware
Jde o aplikaci, která se tváří jako neškodný pomocník – třeba editor emoji, čistič nebo nástroj na optimalizaci baterie – ale po instalaci tě začne zahlcovat agresivní reklamou (aka adware). Ta se často objevuje i mimo samotnou aplikaci, například na ploše nebo po odemknutí telefonu. Některé varianty navíc běží trvale na pozadí, takže se reklamy vracejí i po restartu zařízení.
Proč je to gamifikované? Protože tě láká na zdánlivě výhodné vylepšení: rychlejší telefon, delší výdrž baterie, hezčí emoji nebo prémiové funkce zdarma. Zpočátku působí zcela běžně, takže si problém často spojíš s aplikací až v tom okamžiku, kdy už jí stihl začít věřit.
„GhostAd“ v Google Play
Check Point popsal síť aplikací v Google Play, které se tvářily jako běžné utility nebo emoji nástroje, ve skutečnosti však na pozadí spouštěly reklamní modul fungující i po zavření aplikace nebo restartu telefonu. Kampaň zahrnovala nejméně 15 propojených aplikací, dohromady nasbírala miliony stažení a jedna z nich se dokonce dostala na druhé místo v žebříčku „Top Free Tools“.
Největší varovný signál? V recenzích se opakovala dvě výrazná varování: reklamy se zobrazovaly i mimo samotnou aplikaci a některým uživatelům po instalaci zmizela ikona, takže škodlivou appku bylo mnohem těžší najít a odinstalovat.
Skryté aplikace
V rámci jedné kampaně se škodlivé aplikace vydávaly za čističe nebo nástroje na optimalizaci baterie. Po instalaci se uměly spouštět samy, i bez zásahu uživatele, a opakovaně zobrazovaly reklamy. Aby je bylo těžší odstranit, dokázaly změnit název i ikonu tak, aby vypadaly jako systémové aplikace, například „Google Play“ nebo „Settings“. Podle McAfee šlo o aplikace s instalacemi od stovek tisíc až po více než milion, které se šířily také prostřednictvím reklamních stránek na Facebooku.
Co bylo nejzáludnější? Kvůli přejmenování na „Nastavení“ nebo „Google Play“ uživatel často ani nepoznal, co má z telefonu vlastně smazat.
Co rozhodne výsledek levelu? Všímavost.
Když aplikace začne zahlcovat telefon reklamou, tlačit tě do dalších instalací nebo podezřelých „předplatných“, nejde jen o otravu, ale o způsob, jak na tobě vydělávat a otevřít cestu dalším rizikům. Jakmile se reklamy objevují mimo samotnou appku nebo nejde snadno odinstalovat, je čas zbystřit a aplikaci z telefonu odstranit.
Lvl 3: Free odměny
Tyto podvody slibují zdarma Robux (měna ve hře), skiny (herní doplněk) nebo jiné odměny a vedou tě přes několik zdánlivě jednoduchých kroků, například výběr platformy, zadání jména nebo potvrzení „posledního kroku“. Ve skutečnosti ale nejde o žádnou výhru, nýbrž o snahu vylákat tvoje přihlašovací údaje, osobní data nebo přimět oběť k instalaci aplikace či registraci.
Proč je to gamifikované? Útok využívá falešný pocit, že odměna je už téměř na dosah. Jsi veden sérií úkolů — vyplněním formuláře, přihlášením nebo „ověřením“ — zatímco pop-upy typu „Last step!“ a časový tlak tě mají dotlačit k tomu, aby přestal přemýšlet a jen dokončil poslední krok.
Roblox phishing v chatu
Jde o typický scénář, při němž útočník osloví oběť v Roblox chatu nebo na jiné platformě, slíbí jí „free Robux“ a pošle odkaz na stránku stylizovanou do podoby Robloxu. Ta pak vyžaduje přihlašovací jméno a heslo. Podvod přitom často působí věrohodně právě proto, že napodobuje vzhled známé platformy a spoléhá na to, že uživatel zareaguje bez delšího přemýšlení. Jakmile uživatel údaje zadá, útočník může účet převzít a připravit oběť o virtuální měnu Robux i cenné herní předměty.
Nejzáludnější část triku? Jakmile stránka slibující Robux zdarma chce tvoje heslo, nejde o odměnu, ale o přihlašovací past. Cílem není nic rozdávat, ale získat přístup k účtu.
Free Fire a „free diamonds“
Podvodníci lákají hráče Free Fire na příslib diamantů zdarma, tedy prémiové herní měny, za kterou si ve hře pořizují různé odměny a doplňky. Odkaz obvykle vede na stránku, která slibuje rychlý zisk po několika jednoduchých krocích — zadání jména, výběru platformy, přihlášení nebo dokončení „posledního kroku“. Ve skutečnosti ale nejde o žádnou výhru, nýbrž o snahu získat přístup k účtu, platebním údajům nebo k zařízení oběti.
Kde je past? Diamanty zdarma za přihlášení nebo údaje o kartě nejsou odměna, ale podvod. Skutečné bonusy přicházejí výhradně a jen přes oficiální akce a schválené kanály.
Co rozhodne výsledek levelu? Chladná hlava.
Takový podvod může skončit ztrátou účtu, herní měny i cenných předmětů a v horším případě otevřít cestu i k dalším podvodům nebo malwaru. Jakmile tě údajná odměna žene přes „poslední krok“, přihlášení nebo instalaci, je čas skončit — skutečné bonusy nepřicházejí přes cizí weby.
Lvl 4: Fake CAPTCHA
ClickFix je technika sociálního inženýrství, která nespoléhá na zneužití technické chyby, ale na manipulaci s tebou. Útočník tě navede, aby sám spustil škodlivý příkaz — často pod záminkou běžného ověření typu „Verify you are human“. Stránka pak zobrazí jednoduchý postup: otevři Spustit, vlož příkaz a potvrď. Ve skutečnosti si tím ale sám spustíš infekci.
Proč je to gamifikované? Útok pracuje s jasně rozdělenými kroky, které připomínají plnění úkolu nebo mini-questu: „1/3… 2/3… 3/3“. Přidává i pocit, že už zbývá jen poslední krok, a vizuálně napodobuje známé prvky, jako jsou CAPTCHA, chybová hlášení nebo bezpečnostní upozornění.
Falešné GitHub notifikace
Proofpoint popsal kampaň, v níž útočníci zneužili GitHub notifikace k rozesílání e-mailů vydávajících se za bezpečnostní upozornění. Odkaz z takové zprávy vedl na podvržený web napodobující GitHub, kde na oběť čekala falešná CAPTCHA s postupem ClickFix. Uživatel byl naveden k tomu, aby otevřel okno Spustit, vložil příkaz a potvrdil ho — výsledkem bylo stažení škodlivého souboru a instalace malwaru Lumma Stealer.
Nejzáludnější část triku? Stránka často automaticky zkopírovala škodlivý příkaz do schránky, takže měl uživatel pocit, že jen dokončuje běžné ověření. Ve skutečnosti tím ale sám spustil stažení malwaru — a celý postup byl navržený tak, aby vypadal jako rychlá rutina, ne jako infekce.
Phishing „Booking.com“
Microsoft zveřejnil phishingovou kampaň, která se od prosince 2024 zaměřovala na organizace v hotelnictví a vydávala se za Booking.com. Útočníci rozesílali e-maily s různými záminkami, například kvůli negativním recenzím, zprávám od hostů nebo ověření účtu, a odkaz vedl na podvrženou stránku napodobující Booking.com. Na ní se zobrazila falešná CAPTCHA s postupem ClickFix, která uživatele navedla k otevření okna Spustit, vložení příkazu a jeho potvrzení. Tím se do zařízení stáhl malware určený ke krádeži přihlašovacích a finančních údajů.
Kde byl háček? Podvržená stránka vypadala jako běžné ověření a příkaz často sama zkopírovala do schránky, takže uživatel jen slepě následoval pokyny. Tím ale ve skutečnosti sám spustil škodlivý kód.
Co rozhodne výsledek levelu? Ostražitost.
Takový útok může vést ke krádeži tvých hesel, cookies i přihlašovacích tokenů a usnadnit útočníkům převzetí účtů nebo další průnik do firemního prostředí. Jakmile po tobě nějaká „CAPTCHA“ chce kopírovat a spouštět příkazy, nejde o ověření, ale o past — stránku je nejlepší hned zavřít.
Tento výsledek byl podpořen projektem SOCCER, financovaným na základě grantové dohody č. 101128073, s podporou Evropského centra kompetencí pro kybernetickou bezpečnost (ECCC).