Il panorama della sicurezza mobile sta affrontando una nuova e sofisticata minaccia che segna un ulteriore passo verso la democratizzazione del crimine informatico.

Con un investimento mensile di appena 150 dollari, cifra irrisoria per il mercato del cybercrime, chiunque può oggi accedere a strumenti di sorveglianza di livello avanzato.

Si chiama Cellik ed è l’ultimo esempio di Malware-as-a-Service (MaaS) individuato sui forum underground, un software malevolo progettato per trasformare i dispositivi Android in strumenti di spionaggio quasi invisibili.

Cellik è il nuovo malware affittabile a prezzi irrisori

La scoperta, effettuata dai ricercatori della società di sicurezza mobile iVerify, ha messo in luce un ecosistema di vendita ben strutturato. Oltre all’abbonamento mensile, i criminali possono optare per un accesso a vita al costo di 900 dollari, ottenendo un pannello di controllo completo che permette di gestire le infezioni da remoto.

Tuttavia, ciò che distingue realmente Cellik dalla massa di trojan bancari e spyware già in circolazione è la sua inquietante capacità di mimetizzazione all’interno dell’ecosistema delle applicazioni legittime.

Un malware difficile da scovare

Il punto di forza di questo malware risiede nel suo costruttore di file APK integrato. La piattaforma offre agli acquirenti un’interfaccia che permette di navigare direttamente nel Google Play Store, selezionare un’applicazione reale e popolare, e iniettarvi il codice dannoso creando una versione clonata.

Il risultato è un’applicazione “trojanizzata” che mantiene intatte tutte le funzionalità originali e l’interfaccia utente prevista. Per la vittima è impossibile distinguere l’app manomessa da quella autentica, poiché questa continua a funzionare perfettamente mentre, in background, Cellik esegue le sue operazioni malevole.

Questa strategia permette all’infezione di persistere sul dispositivo per lunghi periodi senza destare alcun sospetto.

Secondo quanto riportato dai venditori sui forum criminali, questa tecnica di impacchettamento del payload all’interno di codice fidato sarebbe persino in grado di aggirare i controlli di sicurezza di Google Play Protect.

Sebbene questa capacità di evasione non sia stata ancora confermata ufficialmente e Google non abbia rilasciato commenti immediati in merito, la sola possibilità che un malware possa scivolare attraverso le maglie dei controlli automatici o degli scanner a livello di dispositivo rappresenta un serio campanello d’allarme per la sicurezza degli utenti Android.

Come funziona Cellik?

Una volta che l’applicazione infetta viene installata, Cellik dispiega un arsenale di sorveglianza completo e invasivo. Il malware stabilisce un canale di comunicazione criptato con un server di comando e controllo, permettendo all’attaccante di trasmettere in tempo reale tutto ciò che appare sullo schermo della vittima.

Ma la sorveglianza non si limita al flusso video: il software è in grado di intercettare le notifiche di sistema, navigare liberamente nel file system per esfiltrare documenti sensibili e persino cancellare dati da remoto.

La minaccia si fa ancora più concreta con l’utilizzo della modalità “browser nascosto”. Questa funzionalità avanzata consente ai criminali di utilizzare il dispositivo infetto come un proxy per navigare sul web sfruttando i cookie di sessione già salvati dalla vittima.

In termini pratici, questo significa che gli attaccanti possono accedere ai profili social, alle email o ad altri account protetti senza dover inserire le password e senza attivare gli allarmi di sicurezza basati sulla posizione o sull’indirizzo IP, poiché la connessione risulta provenire dal telefono legittimo dell’utente.

A completare il quadro delle capacità offensive vi è un sofisticato sistema di iniezione nelle app. Cellik può sovrapporre schermate di login false sopra le applicazioni bancarie o di servizio, inducendo l’utente a digitare le proprie credenziali che vengono immediatamente catturate.

Inoltre, la possibilità di iniettare payload dannosi in altre applicazioni già installate rende estremamente difficile per gli analisti di sicurezza individuare l’origine precisa dell’infezione, dato che anche app storicamente fidate potrebbero improvvisamente comportarsi in modo anomalo.

Come proteggersi?

Di fronte a questa minaccia, la difesa principale per gli utenti rimane la prevenzione attiva. Poiché Cellik richiede l’installazione di una versione modificata di un’app, il vettore di attacco primario è il download di file APK da siti web di terze parti o link non verificati.

Evitare rigorosamente il cosiddetto “sideloading” e affidarsi esclusivamente al Google Play Store ufficiale riduce drasticamente il rischio, così come mantenere attivo Play Protect e monitorare con attenzione le autorizzazioni richieste dalle applicazioni, diffidando di quelle che esigono accessi non necessari al funzionamento del servizio.