O ecossistema móvel enfrenta uma nova e sofisticada ameaça que promete dificultar a distinção entre aplicações legítimas e software malicioso. Investigadores de segurança identificaram o Cellik, um novo serviço de malware-as-a-service (MaaS) que está a ser comercializado em fóruns de cibercrime, destacando-se pela capacidade de criar versões "trojanizadas" de qualquer aplicação disponível na loja oficial da Google.
Descoberto pela iVerify, este malware oferece aos atacantes um conjunto robusto de ferramentas para comprometer dispositivos, mantendo a aparência de legitimidade necessária para enganar as vítimas por longos períodos.
Um clone quase perfeito das aplicações favoritas
O grande diferencial do Cellik reside na sua integração direta com a Google Play Store. Através de um construtor de APKs incluído no serviço, os cibercriminosos podem navegar pela loja, selecionar uma aplicação legítima e criar uma variante maliciosa da mesma.
Ao contrário de outros ataques que utilizam aplicações falsas com interfaces rudimentares, o Cellik mantém a interface e as funcionalidades originais da aplicação alvo. Isto significa que, para o utilizador comum, a app comporta-se exatamente como o esperado, enquanto executa atividades maliciosas em segundo plano. Esta camuflagem permite que a infeção passe despercebida durante muito mais tempo.
Os vendedores deste malware afirmam ainda que esta técnica de "empacotamento" ajuda a contornar as proteções do Google Play Protect, embora esta alegação ainda não tenha sido confirmada oficialmente pela tecnológica de Mountain View.
Funcionalidades de espionagem avançada
O Cellik não se limita a esconder-se; é uma ferramenta de espionagem completa para o sistema Android. Entre as suas capacidades, destaca-se a possibilidade de capturar e transmitir o ecrã da vítima em tempo real, intercetar notificações de outras aplicações e exfiltrar ficheiros do sistema.
Além disso, o malware possui um "modo de navegador oculto", que permite aos atacantes acederem a websites utilizando os cookies de sessão armazenados no dispositivo da vítima, facilitando o roubo de contas sem necessidade de credenciais de login. O sistema de injeção permite também sobrepor ecrãs de login falsos ou injetar código malicioso noutras aplicações instaladas, comprometendo a segurança de serviços que o utilizador considerava seguros.
O acesso a este serviço no mercado negro tem um custo de 150 dólares por mês (cerca de 142 euros) ou 900 dólares (aproximadamente 850 euros) para uma licença vitalícia. Para se protegerem, os utilizadores devem evitar a instalação de ficheiros APK (sideloading) provenientes de fontes desconhecidas, mesmo que a aplicação pareça legítima.
Nenhum comentário
Seja o primeiro!