Jak wynika z najnowszych ustaleń badaczy ESET, zagrożenia wymierzone w użytkowników Androida wchodzą w nową fazę. Nie chodzi już wyłącznie o znane od lat fałszywe aplikacje, phishing czy podszywanie się pod banki. Cyberprzestępcy coraz częściej łączą stare metody z możliwościami generatywnej AI, przez co ataki stają się trudniejsze do rozpoznania zarówno dla ludzi, jak i dla automatycznych systemów detekcji.
To właśnie czyni ten trend tak niepokojącym. Sama sztuczna inteligencja nie tworzy zupełnie nowego świata zagrożeń — ona przede wszystkim wzmacnia skuteczność tych, które już znamy. Lepszy phishing, bardziej realistyczne deepfake’i, sprytniejsze malware i bardziej przekonujące techniki socjotechniczne oznaczają, że użytkownik ma dziś mniej oczywistych sygnałów ostrzegawczych niż jeszcze rok czy dwa lata temu.
AI nie tylko pisze teksty. Pomaga też malware utrzymać się na urządzeniu
Jednym z najciekawszych i zarazem najbardziej niepokojących przykładów opisanych przez ESET jest PromptSpy — według badaczy pierwszy znany przypadek malware na Androida, które wykorzystuje generatywną AI do utrzymywania się na zainfekowanym urządzeniu. Złośliwa aplikacja może zbierać informacje o urządzeniu, wykonywać zrzuty ekranu, nagrywać aktywność na ekranie, a nawet umożliwiać zdalne sterowanie smartfonem poprzez moduł VNC.
Najbardziej charakterystyczny jest jednak sposób użycia AI. Malware analizuje aktualny widok interfejsu i wykorzystuje model Gemini do uzyskania instrukcji, gdzie należy „kliknąć”, aby pozostać przypiętym w widoku ostatnich aplikacji. To ważne, bo układ interfejsu różni się między producentami i modelami telefonów, a klasyczne, sztywno zapisane reguły nie zawsze działają. AI staje się więc tu narzędziem adaptacji do konkretnego urządzenia.
To bardzo ważny sygnał dla całej branży: złośliwe oprogramowanie nie musi już opierać się wyłącznie na statycznych, z góry zapisanych scenariuszach. Może coraz lepiej reagować na kontekst, co podnosi skuteczność ataku i utrudnia jego wykrycie.
Oszustwa finansowe też ewoluują — i robią się bardziej wielowarstwowe
ESET zwraca również uwagę na rozwój ataków wykorzystujących NFC, czyli technologię używaną m.in. do płatności zbliżeniowych. Przykładem jest scenariusz związany z NGate, w którym przestępcy łączą kilka technik naraz: SMS phishing, fałszywe strony podszywające się pod bank, instalację złośliwej aplikacji, a następnie rozmowę telefoniczną z rzekomym pracownikiem banku. Celem jest wyłudzenie danych i doprowadzenie do nieautoryzowanych wypłat lub operacji finansowych.
Badacze opisują też dalszą ewolucję tego typu kampanii. Nowsze warianty potrafią np. zbierać zapisane kontakty, co może zwiększać skuteczność późniejszych prób podszywania się pod zaufane instytucje. Według telemetrycznych danych ESET liczba detekcji zagrożeń związanych z NFC silnie rosła w 2025 roku, a trend ma utrzymać się także w 2026.
To pokazuje, że współczesny atak mobilny bardzo rzadko opiera się na jednym triku. Dużo częściej jest to łańcuch działań, w którym każdy etap ma uwiarygodnić kolejny.
Deepfake’i i phishing wyglądają dziś lepiej niż kiedyś
Trzecim ważnym obszarem są oszustwa określane przez ESET jako Nomani. To kampanie bazujące na fałszywych reklamach inwestycyjnych, „cudownych” usługach lub innych ofertach, które mają skłonić użytkownika do wejścia na stronę phishingową albo wypełnienia formularza z danymi. W tego typu kampaniach wykorzystywane są deepfake’i znanych osób, a jakość tych materiałów rośnie. ESET wskazuje, że nowsze materiały mają lepszą rozdzielczość, mniej nienaturalnych ruchów i lepszą synchronizację audio z obrazem.
Równocześnie poprawiła się jakość samych stron phishingowych i reklam. Oszuści szybciej reagują na bieżące wydarzenia, dostosowują przekaz do aktualnych tematów i korzystają z legalnych narzędzi reklamowych, by utrudnić wykrycie kampanii. Według ESET aktywność związana z Nomani wzrosła rok do roku o 62%, a w 2025 roku zablokowano ponad 64 tys. unikalnych URL-i powiązanych z tym zjawiskiem.
To sprawia, że klasyczna rada „uważaj na dziwnie wyglądające oszustwo” przestaje wystarczać. Dzisiejsze oszustwo coraz częściej wygląda profesjonalnie.
Co to oznacza dla zwykłego użytkownika Androida
Najważniejszy wniosek jest prosty: zagrożenia mobilne nie znikają, tylko dojrzewają. AI nie zastępuje cyberprzestępców, ale daje im narzędzia do szybszego tworzenia bardziej wiarygodnych kampanii, lepszego dopasowania ataku do ofiary i omijania części typowych sygnałów ostrzegawczych.
Dlatego podstawy nadal mają znaczenie. ESET przypomina, by nie instalować aplikacji spoza oficjalnych sklepów, dokładnie sprawdzać uprawnienia, zachować ostrożność wobec nagłych telefonów i „cudownych” ofert oraz zwracać uwagę na objawy kompromitacji urządzenia, takie jak nietypowe przegrzewanie, szybkie rozładowywanie baterii czy dziwne zachowanie aplikacji.
Ale to już nie zawsze wystarcza. Skoro ataki stają się bardziej dynamiczne i coraz częściej wykorzystują nowe techniki, rozsądne staje się posiadanie ochrony, która potrafi wykrywać również zagrożenia wcześniej nieznane, a nie tylko te już dobrze opisane. ESET wprost wskazuje, że w takim krajobrazie potrzebne jest rozwiązanie bezpieczeństwa zdolne zatrzymywać ataki na wczesnym etapie i rozpoznawać nowe metody działania.
Wniosek
Najbardziej niepokojące w tej zmianie jest to, że mobilne zagrożenia nie muszą być dziś bardziej widowiskowe, żeby były groźniejsze. Wystarczy, że są bardziej przekonujące, lepiej dopasowane i trudniejsze do odróżnienia od zwykłej aktywności. To właśnie tu AI daje cyberprzestępcom przewagę.
Dlatego obok ostrożności i zdrowego sceptycyzmu warto mieć na telefonie także antywirusa lub mobilne rozwiązanie ochronne, które zna tego typu zagrożenia i potrafi im przeciwdziałać. W świecie, w którym oszustwa stają się coraz bardziej realistyczne, dodatkowa warstwa ochrony przestaje być dodatkiem — zaczyna być rozsądnym standardem.
