Telefon z malware rzadko ogłasza to wprost — częściej po prostu zaczyna się dziwnie zachowywać, a właściciel zrzuca winę na „starą baterię” albo „zapchaną pamięć”. Sprawdzenie zajmuje kilka minut i nie wymaga instalowania niczego dodatkowego. Haczyk: najczęstszy „wirus”, jaki ludzie widzą na ekranie, to fałszywy alert, który sam jest oszustwem.
Objawy, które powinny zapalić lampkę
Google i producenci antywirusów wymieniają zgodnie podobny zestaw sygnałów:
- bateria topnieje szybciej niż zwykle, a telefon przegrzewa się bez powodu — złośliwa aplikacja pracuje w tle,
- nagły skok zużycia danych — malware wysyła dane z telefonu albo doklikuje reklamy (sprawdź w Ustawieniach zużycie per aplikacja),
- reklamy i wyskakujące okienka poza przeglądarką — na ekranie głównym, ekranie blokady, w innych aplikacjach; znak rozpoznawczy adware,
- aplikacje, których nie pamiętasz z instalacji, znikająca pamięć, częste zawieszanie się systemu,
- SMS-y wysyłane bez Twojej wiedzy — znajomi dostają od Ciebie dziwne linki albo na rachunku pojawiają się opłaty premium.
Żaden objaw pojedynczo nie przesądza sprawy — bateria potrafi paść ze starości, a telefon grzać się od gier. Ale dwa–trzy naraz, zwłaszcza po niedawnej instalacji aplikacji spoza sklepu, to mocna przesłanka, żeby zrobić skan.
Android: uruchom skan Google Play Protect
Każdy Android z usługami Google ma wbudowany skaner — nie trzeba nic instalować. Google Play Protect sprawdza aplikacje przy instalacji i okresowo skanuje całe urządzenie, a wykryte szkodliwe aplikacje potrafi wyłączyć lub usunąć automatycznie. Skan ręczny robi się tak:
- Otwórz aplikację Sklep Google Play.
- Kliknij ikonę profilu w prawym górnym rogu.
- Wybierz Play Protect i kliknij Skanuj.
Przy okazji sprawdź w ustawieniach Play Protect, czy opcja „Skanuj aplikacje za pomocą Play Protect” jest włączona — domyślnie jest, ale niektóre złośliwe aplikacje proszą o jej wyłączenie podczas instalacji. To samo w sobie jest czerwoną flagą.
Obok skanu Google zaleca zainstalowanie aktualizacji systemu i odinstalowanie aplikacji spoza Sklepu Play, którym nie ufasz. W Polsce to istotny wektor — CERT Polska od lat opisuje kampanie SMS-owe („dopłać do paczki”, „odsłuchaj pocztę głosową”), które prowadzą do instalacji złośliwej aplikacji z linku. Podejrzane SMS-y można przekazywać na bezpłatny numer 8080.
Aplikacja nie chce się odinstalować? Tryb awaryjny
Część malware blokuje własne odinstalowanie — przycisk jest wyszarzony albo aplikacja natychmiast wraca. Wtedy wchodzi tryb awaryjny: Android uruchamia się tylko z fabrycznymi aplikacjami, a wszystko doinstalowane zostaje uśpione, więc szkodnik nie może się bronić. Sposób uruchomienia zależy od producenta — najczęściej przytrzymuje się przycisk zasilania, a potem długo przytrzymuje opcję „Wyłącz”.
W trybie awaryjnym usuwaj po kolei ostatnio pobrane aplikacje, zaczynając od zainstalowanych tuż przed pojawieniem się problemów. Jeśli aplikacja dalej nie daje się usunąć, odbierz jej w Ustawieniach uprawnienia administratora urządzenia. Reset fabryczny to ostateczność — pomaga niemal zawsze, ale kasuje dane; sięgaj po niego, gdy skan i tryb awaryjny zawiodą, i nie przywracaj kopii zapasowej zrobionej już po infekcji.
iPhone: klasycznego wirusa raczej nie masz
Na iOS każda aplikacja firmy trzeciej działa w piaskownicy (sandbox) — nie może czytać ani modyfikować danych innych aplikacji, a partycja systemowa jest zamontowana tylko do odczytu. Dlatego klasyczne wirusy, które same się rozprzestrzeniają i infekują system, na niezmodyfikowanym iPhonie praktycznie nie występują. Realne ryzyka to telefon po jailbreaku, złośliwy profil konfiguracyjny albo zwykły phishing.
Komunikat „wykryto 5 wirusów!” na iPhonie nie jest więc wynikiem żadnego skanowania — to reklama lub oszustwo. Realnie możesz: zaktualizować iOS, przejrzeć listę aplikacji, sprawdzić w Ustawieniach nieznane profile konfiguracyjne i wyczyścić dane Safari, jeśli przeglądarka przekierowuje na podejrzane strony.
„Masz wirusa!” w przeglądarce — to jest właśnie scam
Scenariusz klasyczny: wchodzisz na stronę, a tam pulsujący alert, że telefon jest zainfekowany, licznik odlicza, obok numer „wsparcia technicznego”. Apple mówi wprost: nie wysyła ostrzeżeń o wirusach przez wyskakujące okienka — to socjotechnika, która ma wystraszyć i skłonić do instalacji śmieciowej aplikacji lub podania danych karty. Google wymienia „otrzymujesz wiadomości o wirusie” jako objaw działania złośliwego oprogramowania lub scamu, a nie prawdziwą diagnozę.
Prawdziwe ostrzeżenie na Androidzie przychodzi z Google Play Protect w powiadomieniach systemowych, nie z przypadkowej strony. Alert na stronie? Zamknij kartę, nie klikaj niczego, a jeśli strona prosiła o zgodę na powiadomienia — cofnij ją w ustawieniach przeglądarki. Podszywanie się pod Apple zgłosisz na reportphishing@apple.com, podejrzane strony i SMS-y — do CERT Polska.
FAQ
Jak sprawdzić, czy mam wirusa na telefonie z Androidem?
Uruchom skan Google Play Protect: Sklep Play → ikona profilu → Play Protect → Skanuj. Dodatkowo przejrzyj listę aplikacji (czy nie ma nieznanych), zużycie baterii i danych per aplikacja oraz zainstaluj zaległe aktualizacje systemu.
Jak sprawdzić, czy na iPhonie jest wirus?
Klasyczne wirusy na iOS praktycznie nie występują dzięki sandboxowi — każdy komunikat „masz wirusa” na iPhonie to niemal na pewno oszustwo. Zamiast skanera sprawdź w Ustawieniach nieznane profile konfiguracyjne, zaktualizuj iOS i przejrzyj listę zainstalowanych aplikacji.
Co zrobić, gdy wirus w telefonie nie daje się usunąć?
Uruchom Androida w trybie awaryjnym (system startuje bez aplikacji firm trzecich) i wtedy odinstaluj podejrzaną aplikację. Jeśli przycisk odinstalowania jest zablokowany, odbierz aplikacji uprawnienia administratora urządzenia w Ustawieniach. Gdy i to zawiedzie — zostaje reset fabryczny.
Czy alert „masz wirusa” na stronie internetowej jest prawdziwy?
Nie. Ani Apple, ani Google nie wysyłają ostrzeżeń o wirusach przez wyskakujące okienka na stronach — to scam, który ma wymusić instalację śmieciowej aplikacji lub podanie danych. Prawdziwe ostrzeżenia na Androidzie pochodzą z Google Play Protect, w powiadomieniach systemowych.
Źródła
- Google — „Używanie Google Play Protect do ochrony aplikacji i prywatności danych”: https://support.google.com/googleplay/answer/2812853?hl=pl (jak włączyć i uruchomić skan Play Protect; automatyczne usuwanie szkodliwych aplikacji)
- Google — „Usuwanie złośliwego oprogramowania lub niebezpiecznego oprogramowania” (Android): https://support.google.com/accounts/answer/9924802?hl=pl&co=GENIE.Platform%3DAndroid (objawy infekcji: wolne działanie, komunikaty o wirusie, wiadomości wysyłane bez wiedzy użytkownika; zalecane kroki)
- Google — „Uruchamianie urządzenia z Androidem w trybie awaryjnym”: https://support.google.com/android/answer/7665064?hl=pl (tryb awaryjny i usuwanie po kolei ostatnio pobranych aplikacji)
- Apple — „Security of runtime process in iOS, iPadOS, and visionOS” (Apple Platform Security): https://support.apple.com/guide/security/security-of-runtime-process-sec15bfe098e/web (wszystkie aplikacje firm trzecich w sandboxie; partycja systemowa tylko do odczytu)
- Apple — „Rozpoznawanie i unikanie mechanizmów socjotechnicznych, takich jak phishing…”: https://support.apple.com/pl-pl/102568 (fałszywe alerty i podszywanie się pod wsparcie Apple; zgłoszenia na reportphishing@apple.com)
- CERT Polska — „Fałszywe SMSy – plaga ostatnich miesięcy!”: https://cert.pl/baza-wiedzy/falszywe-smsy/ (kampanie SMS z linkami do złośliwych aplikacji; zgłaszanie podejrzanych SMS-ów na numer 8080)
- Kaspersky — „How to Remove Malware From Android Phones”: https://www.kaspersky.com/resource-center/threats/virus-removal-for-android (objawy: bateria, przegrzewanie, skoki transferu, natrętne reklamy; tryb awaryjny, uprawnienia administratora, reset fabryczny jako ostateczność)