Aplikacje na Androidzie zagrożone. Malware tworzy szkodliwe kopie
Mobilny malware Cellik pozwala napastnikom tworzyć trojanizowane wersje popularnych aplikacji z Google Play. W efekcie pod płaszczykiem programu wyglądającego jak każdy inny, może kryć się zagrożenie dla naszego bezpieczeństwa.
Nowe złośliwe oprogramowanie typu MaaS (malware-as-a-service) o nazwie Cellik pojawiło się na forach dotyczących nielegalnych aktywności. Zaskakuje jego szeroki zakres działania, pozwalający na implementację szkodliwych komponentów w dowolnej aplikacji z Google Play, zachowując jej interfejs i sposób działania. Tak przygotowana paczka może wyglądać wiarygodnie i nie zostać wykryta przez dłuższy czas.
Wiadomość zbiega się w czasie z informacją, że Google zrezygnuje z jednego z narzędzi bezpieczeństwa. Według zapewnień sprzedawcy złośliwego oprogramowania, Cellik może omijać zabezpieczenia Google Play Protect - narzędzia kontrolującego aplikacje, jakie Google zaimplementował we własnym sklepie. Tego faktu nie udało się jednak potwierdzić firmom ostrzegającym przed cyberzagrożeniami. Nie zmienia to tego, że zagrożenie jest realne.
Co potrafi Cellik? Może sporo namieszać
Cellik oferowany jest na dwa sposoby: w modelu subskrypcyjnym za 150 dolarów miesięcznie lub 900 dolarów za nieograniczony dostęp na zawsze. Pakiet obejmuje między innymi zdalny podgląd i nagrywanie ekranu, przechwytywanie powiadomień aplikacji oraz przeglądanie systemu plików i wykradanie danych. Komunikacja z serwerem dowodzenia jest szyfrowana, do utrudnia znalezienie.
W arsenale Cellik znajduje się także tryb ukrytej przeglądarki, który pozwala atakującym otwierać strony z urządzenia ofiary, z użyciem zapisanych na urządzeniu ciasteczek. To może ułatwić przejmowanie sesji i przenoszenie nas chociażby do fałszywych stron logowania. Dostępny jest też system wstrzykiwania szkodliwego oprogramowania do obecnych na urządzeniu aplikacji, który potrafi uczynić wcześniej bezpieczne programy zagrożeniem.
Najmocniejszą bronią Cellik jest generator plików .APK. Atakujący mogą przeglądać sklep, wybierać aplikacje i tworzyć ich złośliwe warianty bez większej ingerencji w kod źródłowy, co czyni tworzenie cyberzagrożeń o wiele łatwiejszym, a ich weryfikowanie trudniejszym. Najlepszym środkiem ostrożności w tym przypadku jest unikanie instalowania aplikacji z nieznanego źródła, nawet jeżeli po pobraniu miałyby wyglądać znajomo.
Michał Mielnik, dziennikarz Wirtualnej Polski
