Un nuevo malware para Android llamado Cellik está siendo promocionado en foros clandestinos de ciberdelincuencia, ofreciendo un conjunto robusto de capacidades que incluye la opción de integrarlo en cualquier aplicación disponible en Google Play Store.

Específicamente, los atacantes pueden seleccionar aplicaciones de la tienda oficial de Android y crear versiones troyanizadas que parecen confiables y mantienen la interfaz y funcionalidad de la aplicación real.

Al ofrecer las capacidades esperadas, las infecciones de Cellik pueden pasar desapercibidas durante más tiempo. Además, el vendedor afirma que agrupar el malware de esta manera podría ayudar a evadir Play Protect, aunque esto no ha sido confirmado.

La empresa de seguridad móvil iVerify descubrió Cellik en foros clandestinos, donde se ofrece por $150 al mes o $900 por acceso de por vida.

Capacidades de Cellik

Cellik es un malware completamente desarrollado para Android que puede capturar y transmitir la pantalla de la víctima en tiempo real, interceptar notificaciones de aplicaciones, explorar el sistema de archivos, exfiltrar archivos, borrar datos y comunicarse con el servidor de comando y control a través de un canal encriptado.

El malware también cuenta con un modo de navegador oculto que los atacantes pueden usar para acceder a sitios web desde el dispositivo infectado utilizando las cookies almacenadas de la víctima.

Un sistema de inyección de aplicaciones permite a los atacantes superponer pantallas de inicio de sesión falsas o inyectar código malicioso en cualquier aplicación para robar las credenciales de la cuenta de la víctima.

Las capacidades enumeradas también incluyen la opción de inyectar cargas útiles en las aplicaciones instaladas, lo que dificultaría aún más localizar la infección, ya que aplicaciones en las que se confiaba durante mucho tiempo de repente se vuelven malic El punto destacado, sin embargo, es la integración de Play Store en el creador de APK de Cellik, que permite a los ciberdelincuentes navegar por la tienda de aplicaciones, seleccionar las que quieren y crear una variante maliciosa de ellas.

"El vendedor afirma que Cellik puede eludir las funciones de seguridad de Google Play al envolver su carga útil en aplicaciones confiables, esencialmente desactivando la detección de Play Protect", explica iVerify.

"Aunque Google Play Protect generalmente marca aplicaciones desconocidas o maliciosas, los troyanos ocultos dentro de paquetes de aplicaciones populares podrían pasar desapercibidos por las revisiones automáticas o los escáneres a nivel de dispositivo."

BleepingComputer ha contactado a Google para preguntar si las aplicaciones empaquetadas con Cellik pueden realmente evadir Play Protect, pero no hubo una rsepuesta inmediata.

Para mantenerse seguro, los usuarios de Android deben evitar instalar APKs desde sitios dudosos a menos que confíen en el desarrollador, asegurarse de que Play Protect esté activo en el dispositivo, revisar los permisos de las aplicaciones y vigilar la actividad inusual.