Cellik è il nuovo malware Android che si ruba le app dal Play Store di Google

Cellik è il nuovo e sofisticato trojan di accesso remoto (RAT) , scoperto dalla società di cybersicurezza iVerify, che sta diffondendosi su molti dispositivi Android. Questo malware viene distribuito e usato con l’ormai consolidata tecnica del Malware-as-a-Service, un modello che permette anche ad attaccanti con scarse competenze tecniche di lanciare campagne di spionaggio complesse.

La peculiarità allarmante di Cellik risiede nella sua capacità di integrarsi con le applicazioni legittime presenti sul Google Play Store, offrendo ai criminali informatici uno strumento potente per il controllo totale dei dispositivi e la sorveglianza in tempo reale.

Come funziona Cellik

Il meccanismo principale che distingue Cellik dalla concorrenza è il suo costruttore automatico di APK, progettato per la distribuzione furtiva del malware.

Attraverso un’interfaccia di controllo, gli attaccanti possono navigare nell’intero catalogo del Google Play Store, selezionare applicazioni popolari come giochi o utility e, con un solo clic, generare una versione infetta dell’app che contiene il codice maligno nascosto al suo interno. L’app viene poi distribuita tramite canali alternativi al Play Store.

I venditori di questo software sostengono che tale tecnica, avvolgendo il payload in applicazioni fidate, sia in grado di disabilitare o aggirare i rilevamenti di sicurezza standard come Google Play Protect.

Cosa può fare Cellik

Una volta infettato il dispositivo, l’operatore ottiene un controllo completo che simula una sessione VNC invisibile, permettendo di osservare lo schermo della vittima in diretta con un ritardo minimo e di interagire con l’interfaccia utente come se avesse il telefono in mano.

Oltre allo streaming dello schermo, Cellik intercetta l’intera cronologia delle notifiche, consentendo la lettura di messaggi privati e codici di autenticazione a due fattori (OTP) provenienti da qualsiasi applicazione, comprese quelle bancarie.

Le capacità di spionaggio includono l’accesso remoto a microfono e fotocamera, la registrazione dei tasti premuti e la gestione completa del file system, che permette di esfiltrare dati e accedere agli archivi cloud collegati in modo crittografato.

Parallelamente alle funzioni di monitoraggio, il malware integra un modulo browser nascosto che opera in background senza che l’utente veda alcuna attività sullo schermo. Questo strumento consente all’attaccante di navigare su siti web, cliccare link e persino compilare moduli utilizzando i cookie salvati dalla vittima.

Infine, Cellik utilizza un sistema di iniezione avanzato gestito tramite un “laboratorio” dedicato, capace di creare sovrapposizioni grafiche false su app bancarie o social network per rubare le credenziali di accesso nel momento in cui l’utente tenta di effettuare il login.