Cellikと呼ばれる新たなAndroidのマルウェア・アズ・ア・サービス(MaaS)が、地下のサイバー犯罪フォーラムで宣伝されており、Google Playストアで入手可能なあらゆるアプリに埋め込めるオプションを含む、強力な機能一式を提供している。
具体的には、攻撃者はAndroidの公式アプリストアからアプリを選び、信頼できそうに見え、正規アプリのインターフェースと機能を維持したままのトロイの木馬化バージョンを作成できる。
期待される機能を提供することで、Cellikの感染はより長い期間見過ごされる可能性がある。さらに販売者は、この方法でマルウェアをバンドルすることでPlay Protectを回避できる可能性があると主張しているが、これは未確認だ。
モバイルセキュリティ企業iVerifyは、地下フォーラムでCellikが月額150ドル、または生涯アクセス900ドルで提供されているのを発見した。
Cellikの機能
Cellikは本格的なAndroidマルウェアであり、被害者の画面をリアルタイムでキャプチャしてストリーミングし、アプリ通知を傍受し、ファイルシステムを閲覧し、ファイルを流出させ、データを消去し、暗号化チャネルを介してコマンド&コントロール(C2)サーバーと通信できる。
出典: iVerify
このマルウェアには隠しブラウザモードもあり、攻撃者は被害端末に保存されたCookieを利用して、感染端末からウェブサイトへアクセスできる。
アプリ注入(インジェクション)システムにより、攻撃者は偽のログイン画面を重ねて表示したり、任意のアプリに悪意あるコードを注入したりして、被害者のアカウント認証情報を盗み取れる。
列挙されている機能には、インストール済みアプリにペイロードを注入するオプションも含まれており、長年信頼されてきたアプリが突然悪質化するため、感染の特定はさらに困難になる。
出典: iVerify
しかし最大の特徴は、CellikのAPKビルダーにPlayストア統合が組み込まれている点で、サイバー犯罪者はストア内のアプリを閲覧し、欲しいものを選び、それらの悪意ある亜種を作成できる。
「販売者は、信頼されたアプリにペイロードを包み込むことでGoogle Playのセキュリティ機能を回避し、実質的にPlay Protectの検知を無効化できると主張している」と、iVerifyは説明している。
「Google Play Protectは通常、未知または悪意あるアプリをフラグ付けするが、人気アプリのパッケージ内に隠されたトロイの木馬は、自動レビューや端末レベルのスキャナーをすり抜ける可能性がある。」
BleepingComputerは、Cellikをバンドルしたアプリが実際にPlay Protectを回避できるのかを確認するためGoogleに問い合わせたが、コメントはすぐには得られなかった。
安全を保つため、Androidユーザーは、発行元を信頼できない限り不審なサイトからAPKをサイドロードしないこと、端末でPlay Protectが有効になっていることを確認すること、アプリ権限を見直すこと、そして不審な挙動がないか監視することが推奨される。
