В мире Android обнаружен новый коммерческий вредоносный продукт, распространяемый по модели MaaS (вредоносное ПО как услуга). Он известен под именем Cellik и продаётся на закрытых форумах злоумышленников. Его ключевая особенность — способность внедряться в любое приложение из официального магазина Google Play.
Источник изображения: Soheb Zaidi / unsplash.com
Злоумышленники могут отбирать программы из Google Play и генерировать их троянские копии, которые выглядят и функционируют как легитимные, сохраняя оригинальный интерфейс. Благодаря этому Cellik долгое время остаётся невидимым; по заявлениям распространителей, вредоносный код обходит защиту Play Protect, однако эти данные пока не проверены. Угрозу выявила компания iVerify, специализирующаяся на мобильной безопасности. На теневых площадках доступ к вредоносу предлагается за $150 ежемесячно или $900 за бессрочную лицензию.
Трансляция экрана с заражённого устройства. Источник изображения: iverify.io
Cellik обладает обширным функционалом: захват и прямая трансляция экрана устройства, перехват уведомлений, изучение файловой системы, отправка файлов, удаление данных и связь с командным сервером по шифрованному соединению. Также присутствует скрытый режим браузера, позволяющий злоумышленникам посещать веб-сайты, используя сохранённые пользовательские cookie. Дополнительная опция — отображение фальшивых окон для ввода учётных данных.
Вредонос способен инфицировать уже установленные приложения, что осложняет его обнаружение, поскольку заражённым оказывается проверенное программное обеспечение. Основная особенность — интеграция магазина Play Store в конструктор APK Cellik: злоумышленники могут искать в каталоге подходящие программы, выбирать их и создавать вредоносные версии. Для защиты пользователям Android, как обычно, советуют не загружать APK-файлы из ненадёжных источников, проверять активность Play Protect, внимательно следить за предоставляемыми разрешениями и подозрительным поведением приложений.
