Malware Cellik para Android permite ocultar código malicioso en apps de Google Play

Cellik representa una evolución significativa en las capacidades de los troyanos de acceso remoto (RAT) para Android, introduciendo funciones sofisticadas de control y vigilancia del dispositivo que antes estaban reservadas para spyware avanzado. Este RAT recientemente identificado combina el control total del dispositivo con una conexión integrada a la Google Play Store, lo que permite a los atacantes incrustar sin problemas código malicioso en aplicaciones legítimas. 

Cellik representa una evolución significativa en las capacidades de los Troyanos de Acceso Remoto para Android, introduciendo sofisticadas funciones de control y vigilancia del dispositivo que antes se reservaban para el spyware avanzado. Este RAT (Remote Access Trojan) recientemente identificado combina el control total del dispositivo con una conexión integrada a la Google Play Store, lo que permite a los atacantes incrustar código malicioso en aplicaciones legítimas de forma perfecta. El malware ha surgido a través de redes de cibercrimen con un enfoque en hacer que los ataques móviles sean accesibles para operadores de diferentes niveles de habilidad técnica, lo que marca un cambio hacia amenazas de Android democratizadas. El malware opera con una precisión alarmante una vez instalado, proporcionando a los atacantes el control completo de los dispositivos objetivo. Tras su ejecución, Cellik transmite las pantallas del dispositivo en tiempo real con una latencia mínima, permitiendo a los operadores ver la actividad de la víctima como si accedieran a una sesión VNC invisible.

Los atacantes pueden interactuar de forma remota simulando toques y deslizamientos en la pantalla infectada, controlando eficazmente el dispositivo a distancia. El RAT intercepta todas las notificaciones en pantalla, incluidos los mensajes privados y los códigos de paso únicos, lo que proporciona a los operadores una visibilidad completa de las comunicaciones del usuario y los intentos de autenticación confidenciales. Los analistas de iVerify identificaron que Cellik cuenta con un sistema de inyección avanzado que permite ataques de superposición y la recopilación de credenciales de aplicaciones bancarias y otras plataformas sensibles.

Este conjunto de herramientas de inyección permite a los atacantes desplegar pantallas de inicio de sesión falsas sobre aplicaciones legítimas o interceptar datos dentro de aplicaciones instaladas, con el panel de control que permite a los operadores administrar múltiples inyecciones simultáneas en diferentes aplicaciones sin que el usuario lo sepa.

Aspecto problemático

El aspecto más problemático implica el constructor de APK integrado de Cellik con la integración de la Google Play Store. Esta función permite a los atacantes explorar todo el catálogo de la Google Play Store directamente a través de la interfaz del RAT, seleccionar aplicaciones legítimas y generar automáticamente archivos APK maliciosos que envuelven la carga útil de Cellik dentro de aplicaciones de confianza. El proceso requiere solo un clic, lo que permite incluso a los operadores con poca habilidad crear versiones troyanas convincentes de juegos y utilidades populares.

Supuestamente, el malware evade la detección de Google Play Protect ocultando su carga útil dentro de aplicaciones establecidas, lo que podría eludir las revisiones de seguridad automatizadas y los escáneres a nivel de dispositivo que normalmente identifican aplicaciones nuevas sospechosas. Cellik va más allá de la vigilancia y el control, incorporando acceso al sistema de archivos para la exfiltración de datos con encriptación, un navegador oculto para el acceso no autorizado a sitios web y el phishing, capacidades de robo de billeteras de criptomonedas y funcionalidad de seguimiento de la ubicación. Cellik ejemplifica cómo las amenazas móviles sofisticadas ahora se empaquetan en modelos de suscripción fáciles de usar, lo que permite una amplia implementación con un esfuerzo técnico mínimo para los atacantes, a medida que las plataformas de malware como servicio para Android continúan madurando.

Fuentes:
https://cybersecuritynews.com/cellik-android-malware-with-one-click-apk-builder-let-attackers-wrap/

https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration