Pozor na falešné Google Play stránky – nový malware ohrožuje tisíce uživatelů

Uživatelé operačního systému Linux byli dlouhou dobu považováni za bezpečnější skupinu oproti těm, kdo používají Windows. Nový vývoj ale ukazuje, že doba relativního klidu je pryč. Bezpečnostní experti ze SentinelLabs a Beazley Security varují před novým Pythonem napsaným malwarem s názvem PXA Stealer, který od konce roku 2024 infikuje tisíce zařízení po celém světě.

Zpráva, která byla zveřejněna na začátku srpna 2025, popisuje pokročilý typ infostealeru, který je navržen speciálně pro platformu Linux. Na rozdíl od mnoha předchozích škodlivých kódů se PXA Stealer neomezuje pouze na základní sběr dat – jde o sofistikovanou vícefázovou operaci, která obchází detekční systémy a krade rozsáhlé množství citlivých informací.

Co všechno malware krade?

PXA Stealer je navržen tak, aby z napadeného zařízení získal co nejvíce údajů – a to bez povšimnutí uživatele. Umí extrahovat:

• uložená hesla z více než 40 webových prohlížečů,
• cookies,
• údaje o platebních kartách,
• osobní údaje a data z automatického vyplňování formulářů,
• autentizační tokeny,
• přístupy k e-mailům a online účtům.

Nezůstává přitom jen u webových prohlížečů. Cílem jsou i rozšíření pro kryptoměnové peněženky, jako jsou Exodus, Magic Eden, Crypto.com a další. Malware má schopnost získat údaje z přihlašovacích portálů Coinbase, Kraken, PayPal a dalších populárních služeb.

Zdroj: Shutterstock

Obzvláště znepokojivá je jeho schopnost vkládat škodlivý kód do běžících procesů prohlížeče (tzv. DLL injection), čímž obchází běžné bezpečnostní mechanismy jako je šifrování uložených údajů.

Jak se PXA Stealer šíří?

Útočníci používají sofistikovanou taktiku, která zahrnuje tzv. sideloading – tedy přibalení škodlivé knihovny (DLL) k legitimně vypadajícímu programu. Nejčastěji jde o instalátory běžných nástrojů, například PDF čteček. Uživatel spustí program, který vypadá zcela neškodně, ale na pozadí dojde k aktivaci škodlivé komponenty.

Většina infikovaných zařízení pochází z phishingových kampaní – tedy z e-mailů a webových stránek, které napodobují důvěryhodné zdroje. Stačí jedno kliknutí a malware se dostane do systému.

Oběti a původ útoků

Zatím bylo zaznamenáno přes 4 000 infikovaných zařízení ve více než 62 zemích, nejvíce však v Jižní Koreji, USA, Nizozemsku, Maďarsku a Rakousku. Z dat bezpečnostních výzkumníků vyplývá, že původní autoři malwaru pocházejí z Vietnamu, kde je aktivní organizovaná skupina, která prodává ukradená data prostřednictvím Telegramu.

Zpráva dále uvádí, že bylo odcizeno:

• více než 200 000 hesel,
• stovky údajů o kreditních kartách,
• přes 4 miliony cookies,
• a neznámé množství citlivých údajů z kryptopeněženek.

Útočníci si přitom data sami neuchovávají ani nepoužívají k přímým podvodům – jde jim hlavně o prodej dat dalším zájemcům na černém trhu.

Může se to stát i vám?

Bohužel ano. PXA Stealer cílí na běžné uživatele Linuxu, nikoliv pouze na servery nebo specifické firemní systémy. To je zásadní rozdíl oproti starším Linuxovým malwarům. Pokud používáte oblíbené distribuce jako Ubuntu, Fedora, Debian nebo Mint a běžně instalujete software z neověřených zdrojů, může být právě vaše zařízení další na řadě.