Foi descoberto um malware comercial chamado Cellik, que transforma aplicativos do Google Play em cavalos de Troia.

Um novo malware comercial para Android foi descoberto, distribuído através do esquema MaaS (Malware como Serviço). Apelidado de Cellik, ele é distribuído em fóruns clandestinos de cibercriminosos. Sua característica distintiva é a capacidade de se infiltrar em qualquer aplicativo da Google Play Store.

Fonte da imagem: Soheb Zaidi / unsplash.com

Os atacantes podem selecionar aplicativos da loja oficial do Google Play e criar versões trojanizadas deles — que parecem funcionar com a mesma segurança que as versões originais e mantêm a mesma interface. Esses mecanismos permitem que o Cellik permaneça indetectável por longos períodos; o vendedor afirma até que o código malicioso embutido nos aplicativos burla o Play Protect, mas isso ainda não foi confirmado. O Cellik foi descoberto pela empresa de cibersegurança móvel iVerify, que oferecia acesso ao malware em fóruns da darknet por US$ 150 por mês ou US$ 900 para acesso vitalício.

Captura de tela de um dispositivo infectado. Fonte da imagem: iverify.io

O malware Cellik oferece uma ampla gama de recursos: captura e transmissão da tela da vítima em tempo real, interceptação de notificações de aplicativos, navegação no sistema de arquivos, envio de arquivos, exclusão de dados e comunicação com o servidor de comando e controle por meio de um canal criptografado. Ele também inclui um modo de navegador furtivo que permite aos invasores navegar para sites usando cookies armazenados do usuário. Outro recurso é a sobreposição de telas de login falsas.

O Cellik pode injetar payloads em aplicativos já instalados, dificultando sua detecção, pois o malware só é detectado após a verificação. Uma característica fundamental do malware é a integração da Play Store ao construtor de APKs do Cellik. Os cibercriminosos podem navegar pela loja em busca de aplicativos adequados, selecionar os desejados e criar variantes maliciosas deles. Para garantir a segurança, os proprietários de dispositivos Android são, como sempre, aconselhados a não instalar arquivos APK de sites não confiáveis, garantir que o Play Protect esteja ativado e monitorar as permissões de software e qualquer atividade incomum.