Prima di procedere
È stato scoperto un nuovo malware commerciale per Android che si diffonde tramite un modello MaaS (Malware-as-a-Service). Denominato Cellik, viene distribuito su forum clandestini frequentati da criminali informatici. La sua caratteristica distintiva è la capacità di integrarsi in qualsiasi applicazione presente nel Google Play Store.
I cybercriminali hanno la possibilità di selezionare applicazioni dall'Android Marketplace ufficiale e creare versioni modificate contenenti trojan. Queste versioni sono progettate per apparire e funzionare come le app originali, mantenendo la stessa interfaccia utente. Questo sofisticato meccanismo consente a Cellik di operare inosservato per periodi prolungati. Il venditore del malware afferma che il codice dannoso incorporato nelle app è in grado di eludere la protezione di Play Protect, sebbene questa affermazione non sia stata ancora verificata in modo indipendente.
La scoperta di Cellik è stata fatta da iVerify, una società specializzata nella sicurezza informatica mobile. Nei forum underground, l'accesso a Cellik è offerto a un costo di 150 dollari al mese o 900 dollari per una licenza a vita. Questo modello di business rende il malware accessibile a una vasta gamma di potenziali aggressori, aumentando il rischio per gli utenti Android.
Le funzionalità offerte da Cellik sono ampie e preoccupanti. Il malware può acquisire e trasmettere lo schermo della vittima in tempo reale, intercettare le notifiche delle applicazioni, esplorare il file system, inviare file, cancellare dati e comunicare con un server di controllo tramite un canale crittografato. Inoltre, include una modalità browser nascosta, che consente ai criminali di accedere a siti web utilizzando i cookie salvati dall'utente, il che permette di bypassare l'autenticazione a due fattori in molti casi. Un'ulteriore funzionalità consente di sovrapporre schermate di accesso false, con cui è possibile rubare le credenziali di accesso degli utenti.
Una delle caratteristiche più insidiose di Cellik è la sua capacità di iniettare payload dannosi in applicazioni già installate. Ciò rende particolarmente difficile rilevare l'infezione, poiché il software compromesso è già stato sottoposto a verifica e considerato sicuro. La peculiarità principale di questo malware risiede nell'integrazione del Play Store nel costruttore APK di Cellik. I cybercriminali possono navigare nel negozio alla ricerca di applicazioni adatte, selezionare quelle desiderate e creare varianti dannose pronte per essere distribuite.
Per garantire la sicurezza dei dispositivi Android, è fondamentale adottare una serie di precauzioni. Si raccomanda vivamente di evitare l'installazione di file APK provenienti da siti web non affidabili, di verificare che Play Protect sia attivo e di monitorare attentamente le autorizzazioni richieste dalle applicazioni e qualsiasi attività insolita. È importante essere consapevoli dei rischi e adottare un approccio proattivo alla sicurezza informatica per proteggere i propri dati e dispositivi da minacce come Cellik. L'ecosistema Android è costantemente sotto attacco e rimanere informati è la difesa migliore.
La scoperta di Cellik mette in luce la crescente sofisticazione delle minacce malware per dispositivi mobili e la necessità di una vigilanza continua da parte degli utenti e delle aziende di sicurezza informatica. È probabile che vedremo evoluzioni di questo tipo di malware nel prossimo futuro, rendendo ancora più importante l'adozione di misure di sicurezza robuste e la consapevolezza dei rischi da parte degli utenti.
