Um novo malware comercial para Android foi descoberto, distribuído através do esquema MaaS (Malware como Serviço). Apelidado de Cellik, ele é distribuído em fóruns clandestinos de cibercriminosos. Sua característica distintiva é a capacidade de se infiltrar em qualquer aplicativo da Google Play Store.
Fonte da imagem: Soheb Zaidi / unsplash.com
Os atacantes podem selecionar aplicativos da loja oficial do Google Play e criar versões trojanizadas deles — que parecem funcionar com a mesma segurança que as versões originais e mantêm a mesma interface. Esses mecanismos permitem que o Cellik permaneça indetectável por longos períodos; o vendedor afirma até que o código malicioso embutido nos aplicativos burla o Play Protect, mas isso ainda não foi confirmado. O Cellik foi descoberto pela empresa de cibersegurança móvel iVerify, que oferecia acesso ao malware em fóruns da darknet por US$ 150 por mês ou US$ 900 para acesso vitalício.
Captura de tela de um dispositivo infectado. Fonte da imagem: iverify.io
O malware Cellik oferece uma ampla gama de recursos: captura e transmissão da tela da vítima em tempo real, interceptação de notificações de aplicativos, navegação no sistema de arquivos, envio de arquivos, exclusão de dados e comunicação com o servidor de comando e controle por meio de um canal criptografado. Ele também inclui um modo de navegador furtivo que permite aos invasores navegar para sites usando cookies armazenados do usuário. Outro recurso é a sobreposição de telas de login falsas.
O Cellik pode injetar payloads em aplicativos já instalados, dificultando sua detecção, pois o malware só é detectado após a verificação. Uma característica fundamental do malware é a integração da Play Store ao construtor de APKs do Cellik. Os cibercriminosos podem navegar pela loja em busca de aplicativos adequados, selecionar os desejados e criar variantes maliciosas deles. Para garantir a segurança, os proprietários de dispositivos Android são, como sempre, aconselhados a não instalar arquivos APK de sites não confiáveis, garantir que o Play Protect esteja ativado e monitorar as permissões de software e qualquer atividade incomum.