Наблюдение, перехват СМС и доступ к камерам. Троянец Cellik превращает любой смартфон в идеальное шпионское устройство

Злоумышленникам даже не нужны навыки программирования, чтобы управлять этим цифровым оружием.

Эксперты iVerify обнаружили нового трояна удаленного доступа к Android под названием Cellik, который сочетает в себе функции полноценного шпионского ПО с возможностью маскироваться под легитимное приложение Google Play. Разработка уже распространяется через подземные площадки и нацелена на массовое использование, в том числе злоумышленниками с минимальным техническим опытом.

Cellik обеспечивает полный контроль над зараженным устройством и постоянный мониторинг в режиме реального времени. В арсенал вредоносного ПО входит скринкаст с одновременным удаленным управлением интерфейсом, перехват нажатий клавиш, доступ к камере и микрофону, а также чтение всех уведомлений. Он позволяет получать личные сообщения и одноразовые коды, отображаемые на экране смартфона. Кроме того, троянец предоставляет доступ ко всей файловой системе, включая каталоги облачных хранилищ, с возможностью скачивания, удаления и передачи данных в зашифрованном виде.

Особое внимание авторы отчета уделяют скрытому браузеру, встроенному в Челик. Он работает незаметно для владельца устройства и позволяет удаленно открывать веб-сайты, заполнять формы и переходить по ссылкам. При этом оператор получает поток скриншотов в режиме реального времени. Этот механизм может использоваться для входа в сервисы с сохраненными сессиями или для фишинга, когда входные данные перехватываются непосредственно трояном.

Еще одной опасной особенностью является модуль для внедрения кода в другие приложения. С его помощью злоумышленники могут накладывать фальшивые окна авторизации на банковские и почтовые приложения и извлекать данные непосредственно из них. Система поддерживает одновременную работу с несколькими приложениями и сбор информации в едином центре управления.

Ключевой особенностью Cellik является его интеграция с Google Play. Панель управления предоставляет инструмент, позволяющий выбрать любое легитимное приложение из каталога магазина и автоматически внедрить в него вредоносную нагрузку. В результате создается новый установочный файл, ничем не отличающийся от обычной программы. По мнению производителей, такой подход увеличивает шансы обойти встроенные в Android механизмы сканирования и защиты.

Появление Cellik вписывается в общий рост рынка вредоносного ПО для Android, использующего модель «вредоносное ПО как услуга». Эти платформы предлагают готовые инструменты для создания установочных файлов, управления зараженными устройствами и инфраструктуры управления кампаниями. Cellik сравнивают с HyperRat, PhantomOS и Nebula, но новый троянец выделяется сочетанием интеграции с Play Store и расширенными функциями, включая отслеживание местоположения, перехват сообщений, кражу данных из криптовалютных кошельков и анализ поведения пользователей.