Найден новый Android-троян, который умеет прятаться в легальных приложениях

Исследователи кибербезопасности обнаружили новый троян для Android под названием Cellik. Вредонос распространяется через каналы киберпреступных сетей. У Cellik имеется набор возможностей, который раньше встречался только в серьёзном шпионском софте. Троян транслирует экран устройства в реальном времени, перехватывает нажатия клавиш, получает доступ к камере и микрофону. Может скрытно открывать веб-страницы, читает все уведомления и внедряется в другие приложения для кражи данных.

Главная особенность Cellik — интеграция с Google Play Store и встроенный конструктор APK. Злоумышленники упаковывают вредонос в легитимные приложения одним кликом и распространяют под видом популярных программ.

После установки троян предоставляет оператору полный контроль над телефоном жертвы. Злоумышленник наблюдает за экраном в реальном времени с минимальной задержкой и управляет интерфейсом удалённо. Получается невидимый VNC-сеанс, позволяющий имитировать нажатия и свайпы. Вредонос также перехватывает все уведомления автоматически. Троян достаёт полную историю и получает оповещения из любого приложения в реальном времени.

Cellik имеет полный доступ к файловой системе, может просматривать файлы, скачивать и загружать данные, удалять информацию и получать доступ к каталогам облачного хранилища. Вся передача файлов идёт с шифрованием, что позволяет злоумышленникам не оставлять следов.

В троян встроен модуль скрытого браузера. Он запускает невидимый экземпляр веб-обозревателя на телефоне. Злоумышленник удалённо переходит по сайтам, кликает ссылки и заполняет формы без видимой активности на экране владельца. Скрытый браузер передаёт скриншоты атакующему в реальном времени.

Через этот браузер киберпреступники входят на сайты с помощью сохранённых cookies жертвы или автоматом заполняют данные на фишинговых страницах. Cellik перехватывает любую информацию из форм, включая пароли и данные банковских карт.

У трояна есть система внедрения кода в другие приложения. Инструментарий показывает поддельные экраны входа поверх банковских приложений или перехватывает данные внутри других программ. Панель управления позволяет рулить активными внедрениями, смотреть их статус и собирать полученные данные.

В Cellik входит лаборатория для создания пользовательских шаблонов внедрения. Троян поддерживает множество одновременных внедрений в разные приложения. Параллельно можно включить фишинговые наложения для нескольких сервисов, и вредонос будет передавать учётки из всех источников.

Через интерфейс управления атакующий просматривает весь каталог Google Play Store и выбирает легитимные приложения для объединения с вредоносной нагрузкой. Одним кликом Cellik генерирует новый APK, в который встроен троян внутри выбранного легитимного приложения.

Продавец ВПО утверждает, что Cellik обходит механизмы защиты Google Play, оборачивая нагрузку в доверенные приложения. Трояны, спрятанные в пакеты популярных программ, проходят мимо автоматических проверок и сканеров на уровне устройства.