Nel panorama dei pericoli informatici, i Trojan rappresentano una delle minacce più gravi per i dispositivi, potendo causare danni significativi soprattutto se riescono a infiltrarsi nel sistema operativo senza essere notati. In questo contesto, un nuovo malware per Android noto come Cellik ha recentemente attirato l’attenzione della comunità della cybersicurezza grazie al suo approccio insidioso che sfrutta la fiducia degli utenti verso le app del Google Play Store, trasformandole in veicoli per attacchi invisibili.
Malware-as-a-service di Cellik
Cellik è stato identificato dai ricercatori di iVerify come un servizio di malware-as-a-service (MaaS). Questo servizio è pubblicizzato come una piattaforma accessibile anche a cybercriminali con competenze limitate, disponibile tramite abbonamento mensile da 150 dollari o una licenza a vita da 900 dollari. Il cuore dell’offerta consiste in un builder APK che consente di creare versioni trojanizzate di app del Play Store, mantenendone icona, nome e funzionalità, ma integrandovi un malware.
Caratteristiche tecniche di Cellik
Dal punto di vista tecnico, Cellik è un sofisticato malware Android. Le sue funzionalità includono la possibilità di trasmettere in tempo reale lo schermo del dispositivo infetto, intercettare notifiche, esplorare il file system e cancellare dati da remoto. Inoltre, dispone di una modalità browser nascosta che permette di navigare su siti sfruttando cookie e sessioni attive per evitare ulteriori richieste di credenziali, aumentando così il rischio di accessi non autorizzati a servizi online.
Sistemi di app injection e furto credenziali
Cellik prevede anche un sistema di app injection per sovrapporre schermate di login false o inserire codice malevolo. Queste tecniche sono frequentemente usate per sottrarre credenziali bancarie o dati di account personali, sfruttando l’utente ignaro che percepisce l’interfaccia come legittima. iVerify avverte che il malware può iniettare payload anche in app esistenti sul dispositivo, aumentando la difficoltà di rilevamento e mitigazione delle infezioni.
Google Play Protect sotto esame
Il venditore di Cellik sostiene che il malware può eludere le protezioni di Google Play Protect, avvalendosi di pacchetti applicativi apparentemente affidabili. iVerify avverte che, sebbene Play Protect individui app sconosciute o pericolose, i Trojan nascosti tra app popolari possono superare i controlli automatici. Tentativi di ottenere commenti ufficiali da Google non hanno ricevuto risposta alla data di pubblicazione.
Misure di protezione
Per difendersi da minacce come Cellik, è raccomandato evitare il sideloading di APK da fonti non verificate, mantenere attivo Play Protect, e monitorare i permessi e i comportamenti anomali del dispositivo. Mantenere il sistema operativo aggiornato è cruciale poiché molte vulnerabilità sfruttate dai malware possono essere già state corrette in versioni recenti di Android. Gli esperti suggeriscono di aggiornare il dispositivo Android anche quando non vi sono significative novità funzionali.
