Cos'è Cellik, il nuovo malware Android capace di clonare le app per infettarle

In Sintesi

• Cellik è un “Malware-as-a-Service” che permette di clonare app legittime del Play Store rendendole indistinguibili dall’originale.
• Una volta installato, trasforma lo smartphone in uno strumento di spionaggio capace di trasmettere lo schermo in diretta, rubare file e dati personali.

I ricercatori di sicurezza informatica di iVerify hanno scoperto una nuova e sofisticata minaccia per smartphone Android chiamata Cellik. Il malware non si limita a infettare i dispositivi, ma adotta una strategia di mimetismo mai vista finora, trasformando applicazioni legittime e conosciute in trojan pronti a spiare ogni mossa dell’utente. Si tratta di un sistema criminale davvero molto pericoloso che potrebbe mettere in discussione l’intero sistema di difesa di Android e, naturalmente, aggirarlo senza che nessuno se ne accorga.

Cosa può fare Cellik

Stando al report condiviso da iVerify, Cellik viene venduto nei forum specializzati come Malware-as-a-Service (MaaS), non si tratta di un semplice virus isolato, ma di un sistema modulare venduto a criminali informatici che, anche senza competenze tecniche avanzate, possono generare versioni infette di app popolari.

Il cuore di questa minaccia è un generatore di APK, uno strumento che permette agli aggressori di prelevare un’app originale dal Google Play Store e infettarla con il codice dannoso. Il risultato è un’applicazione identica all’originale ma infettata da questo malware, cosa che la rende praticamente impossibile da riconoscere.

Una volta installata, Cellik trasforma lo smartphone in una vera e propria stazione di trasmissione dati verso server remoti. Tra le capacità del malware si segnala:

• live streaming dello schermo che permette agli hacker di vedere tutto ciò che l’utente visualizza
• accesso ai file e notifiche, con la possibilità di leggere messaggi, documenti e rubare file personali
• Browser Ghost Mode, una funzione che permette ai criminali di navigare sul web utilizzando l’identità dello smartphone infetto, sfruttando i cookie memorizzati per accedere ai conti bancari o ai social media senza dover inserire nuovamente le password
• la possibilità di sovrapporre finestre di login false sopra le app bancarie legittime per rubare le credenziali d’accesso

Cosa sta facendo Android per contrastare la minaccia

L’aspetto più preoccupante riguarda l’efficacia delle difese integrate di Android. Secondo quanto dichiarato dagli sviluppatori del malware, Cellik sarebbe in grado di aggirare addirittura i sistemi di difesa del Google Play Protect, nascondendo il payload dannoso all’interno di pacchetti software già validati e noti passando inosservato durante le scansioni di sicurezza standard.

Al momento, Google non ha ancora rilasciato dichiarazioni ufficiali in merito alla vulnerabilità di Play Protect contro questa specifica tecnica di “iniezione di codice”. Intanto gli esperti di iVerify raccomandano la massima prudenza, anche se visto il livello così avanzato di questo malware, riconoscere le app legittime da quelle che non lo sono, è diventato davvero molto difficile.