malware
Nel mondo del cybercrime mobile sta emergendo una minaccia particolarmente insidiosa. Si chiama Cellik ed è un malware Android che sta attirando grande attenzione tra gli esperti perché introduce un approccio estremamente subdolo: prendere app reali del Google Play Store e trasformarle in trojan perfettamente mimetizzati, indistinguibili dalle originali.
La scoperta arriva dai ricercatori di iVerify, che hanno intercettato Cellik come un servizio malware-as-a-service venduto nei circuiti underground. Il suo obiettivo è chiaro: permettere anche a criminali senza competenze avanzate di creare app infette che appaiono totalmente affidabili, con icona, nome e funzionalità originali intatte.
Una piattaforma per creare trojan “su misura”
Cellik viene commercializzato come una piattaforma completa, accessibile tramite abbonamento mensile o licenza lifetime. Il suo builder APK è in grado di prendere una qualsiasi app presente sul Play Store, scaricarne la versione originale e reinserirla in un nuovo pacchetto che integra codice malevolo invisibile all’utente. Una volta installata, l’app continua a funzionare normalmente, ma in background attiva funzioni estremamente invasive: cattura schermo in tempo reale, lettura delle notifiche, accesso al file system, invio di file sensibili, cancellazione remota dei dati e comunicazione cifrata con il server dell’attaccante. Particolarmente allarmante è anche la modalità browser nascosta che sfrutta cookie e sessioni già attive per accedere ai servizi online della vittima senza richiedere nuovamente login o OTP.
Injection e furto delle credenziali
Tra le funzioni peggiori di Cellik c’è la iniezione di schermate di login false all’interno delle app più sensibili: home banking, social network, servizi premium, repository aziendali. Il sistema sovrappone interfacce fedelissime a quelle originali, inducendo gli utenti a consegnare password, PIN e codici di sicurezza. Secondo iVerify, Cellik riesce persino a intervenire sulle app già installate nel sistema, inserendo payload malevoli in software che gli utenti utilizzano da anni senza sospetti.
Play Protect può fermarlo?
Il venditore del malware sostiene che Cellik sia in grado di bypassare Play Protect grazie alla sua natura “ibrida”: non un’app sospetta, ma una copia apparentemente legittima di una famosa applicazione. Gli analisti chiariscono che Play Protect funziona bene contro app non firmate o pacchetti maligni evidenti, ma un trojan nascosto in un’app reale ha più probabilità di superare i controlli. Google non ha ancora rilasciato una dichiarazione ufficiale.
