新たな脅威「Cellik」の登場
アンダーグラウンドのサイバー犯罪フォーラムで、「Cellik」と名付けられた新たなAndroidマルウェア・アズ・ア・サービス(MaaS)が宣伝されています。このマルウェアは、Google Playストアで入手可能な任意のアプリに埋め込むことができ、高度な機能を提供するとされています。
攻撃者は、Androidの公式アプリストアからアプリを選択し、本物のアプリのインターフェースと機能を維持したまま、信頼できるように見せかけたトロイの木馬化バージョンを作成できます。これにより、Cellikに感染したデバイスは、ユーザーに気付かれずに長期間にわたって悪用される可能性があります。さらに、販売者はこの方法でマルウェアをバンドルすることで、Google Play Protectを迂回できると主張していますが、これは未確認です。
モバイルセキュリティ企業iVerifyがアンダーグラウンドフォーラムでCellikを発見しました。価格は月額150ドル、または生涯利用で900ドルで提供されています。
Cellikの多様な機能
Cellikは、以下の通り、多岐にわたる機能を備えた本格的なAndroidマルウェアです。
- 被害者の画面をリアルタイムでキャプチャおよびストリーミング
- アプリの通知を傍受
- ファイルシステムを閲覧し、ファイルを外部に送信
- データを消去
- 暗号化されたチャネルを介したコマンド&コントロールサーバーとの通信
また、このマルウェアには、攻撃者が感染したデバイスから被害者の保存されたクッキーを使用してウェブサイトにアクセスできる隠しブラウザモードが搭載されています。アプリインジェクションシステムにより、攻撃者は偽のログイン画面をオーバーレイしたり、悪意のあるコードを任意のアプリに注入したりして、被害者のアカウント認証情報を盗むことができます。インストール済みアプリにペイロードを注入する機能もあり、長年信頼されてきたアプリが突然悪意のある挙動を示すようになるため、感染の特定をさらに困難にします。
しかし、特筆すべきは、CellikのAPKビルダーにGoogle Playストアとの連携機能が組み込まれている点です。これにより、サイバー犯罪者はストアでアプリを検索し、希望するアプリを選択して、その悪意のあるバリアントを簡単に作成できます。
Google Play Protectの回避と注意喚起
iVerifyは「販売者は、Cellikがペイロードを信頼できるアプリにラッピングすることでGoogle Playのセキュリティ機能を迂回できると主張しており、実質的にPlay Protectの検出を無効にできる」と説明しています。「通常、Google Play Protectは未知のまたは悪意のあるアプリにフラグを立てますが、人気のあるアプリパッケージ内に隠されたトロイの木馬は、自動レビューやデバイスレベルのスキャナーをすり抜ける可能性があります。」BleepingComputerは、CellikがバンドルされたアプリがPlay Protectを回避できるかGoogleに問い合わせましたが、コメントはすぐに得られませんでした。
安全を保つために、Androidユーザーは以下の点に注意すべきです。
- 疑わしいサイトからのAPKのサイドローディングは避ける
- デバイスでPlay Protectが有効になっていることを確認する
- アプリの権限を定期的に確認する
- 不審なアクティビティがないかデバイスを監視する