iVerifyの研究者は、Cellikと呼ばれる新しいAndroid向けリモートアクセス型トロイの木馬(RAT)を特定しました。これは本格的なスパイウェアの機能と、Google Playの正規アプリになりすます能力を融合させたものです。このマルウェアはすでにアンダーグラウンドのマーケットプレイスで流通しており、技術的な専門知識がほとんどない攻撃者も含め、広範な利用を想定して設計されています。
Cellikは感染した端末を包括的に制御し、継続的なリアルタイム監視を可能にします。その武器には、リモートのインターフェース操作と組み合わせたライブ画面ストリーミング、キーストロークの記録、カメラとマイクへのアクセス、すべての通知を読む機能が含まれます。これにより攻撃者は、スマートフォン画面に表示されるプライベートメッセージやワンタイムコードを傍受できます。さらにこのトロイの木馬は、クラウドストレージのディレクトリを含むファイルシステムへの完全なアクセスも解放し、データのダウンロード、削除、暗号化した形での持ち出し(流出)を行うオプションを備えています。
報告書は、Cellikに内蔵されたステルスブラウザに特に重点を置いています。端末所有者に気付かれない形で動作し、攻撃者が遠隔からWebサイトを開いてフォームに入力し、リンクをたどることを可能にする一方、リアルタイムでスクリーンショットの連続ストリームを受け取れます。この仕組みは、アクティブなセッションが残っているサービスへのアクセスやフィッシング攻撃に悪用され得て、認証情報はトロイの木馬によって直接取得されます。
もう一つ特に危険な能力として、他のアプリケーションへのコード注入モジュールがあります。これにより攻撃者は、銀行アプリやメールアプリの上に偽のログイン画面を重ねて表示したり、そこから直接データを抽出したりできます。このシステムは複数アプリとの同時インタラクションをサポートし、収集した情報を単一のコマンド&コントロール(C2)インターフェース内に集約します。
Cellikを特徴づけるのは、Google Playとの統合です。コントロールパネルには、運用者がストア内の任意の正規アプリを選択し、その中に悪意のあるペイロードを自動的に埋め込めるツールが含まれています。その結果、正規アプリと見分けがつかない新しいインストールパッケージが生成されます。ベンダーによれば、この手法はAndroidに組み込まれたセキュリティチェックや防御を回避できる可能性を大幅に高めるとされています。
Cellikの登場は、Androidにおける「マルウェア・アズ・ア・サービス(MaaS)」エコシステムの拡大をより広い文脈で反映しています。こうしたプラットフォームは、インストーラー生成、感染端末の管理、大規模なキャンペーンのオーケストレーションのためのターンキー型ツールを提供します。CellikはHyperRat、PhantomOS、Nebulaと比較されることが多いものの、Playストアとの直接統合と、位置追跡、通信の傍受、暗号資産ウォレットの窃取、詳細なユーザー行動分析を含む広範な機能セットによって際立っています。
