Um novo malware para Android, oferecido como serviço (MaaS) e chamado Cellik, vem sendo divulgado em fóruns clandestinos de cibercrime.
Ele oferece um conjunto avançado de funcionalidades, incluindo a capacidade de se integrar a qualquer aplicativo disponível na Google Play Store.
A principal característica do Cellik é permitir que os atacantes escolham apps diretamente do mercado oficial do Android e criem versões trojanizadas, que mantêm a interface e as funcionalidades originais, tornando-se aparentemente confiáveis para o usuário.
Essa técnica aumenta o tempo em que a infecção pode passar despercebida.
Além disso, o anunciante do malware afirma que agrupar o código malicioso dessa forma pode ajudar a burlar o Play Protect, embora essa alegação ainda não tenha sido confirmada.
A empresa de segurança móvel iVerify identificou o Cellik em fóruns underground, onde ele é oferecido por US$ 150 mensais ou US$ 900 para acesso vitalício.
O Cellik é um malware completo para Android, capaz de capturar e transmitir a tela da vítima em tempo real, interceptar notificações de apps, navegar no sistema de arquivos, exfiltrar documentos, apagar dados e se comunicar com um servidor de comando e controle por meio de um canal criptografado.
Além disso, o malware inclui um modo navegador oculto, que permite ao atacante acessar sites utilizando os cookies armazenados no dispositivo infectado.
Um sistema de injeção de aplicativos possibilita a sobreposição de telas falsas de login ou a injeção de códigos maliciosos em qualquer app, com o objetivo de roubar credenciais dos usuários.
Outra funcionalidade destacada é a capacidade de injetar payloads em apps instalados, o que dificulta ainda mais a identificação da infecção, já que apps confiáveis passam a agir de forma maliciosa.
O grande diferencial do Cellik é a integração com a Google Play Store em seu construtor de APKs.
Dessa forma, os criminosos podem navegar pela loja, escolher os apps desejados e gerar suas versões maliciosas.
“O vendedor afirma que o Cellik pode burlar as proteções do Google Play ao encapsular seu payload em apps confiáveis, desativando basicamente a detecção do Play Protect”, explica a iVerify.
“Enquanto o Play Protect geralmente sinaliza apps desconhecidos ou maliciosos, trojans escondidos dentro de pacotes populares podem escapar das análises automáticas e dos scanners do dispositivo.”
Para se proteger, usuários de Android devem evitar instalar APKs de fontes desconhecidas ou não confiáveis, manter o Play Protect ativado, revisar as permissões concedidas aos apps e ficar atentos a qualquer comportamento incomum no dispositivo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...