Säkerhetsvärlden står inför ett nytt hot mot Android-användare. Det amerikanska mobilsecurity-företaget Iverify, med huvudkontor i New York, har publicerat en detaljerad analys av en ny och sofistikerad Remote Access Trojan (RAT) som de har döpt till Cellik.
Det som skiljer Cellik från mängden är dess ovanligt avancerade integration med Google Play Store, vilket gör det möjligt för skadeprogrammet att operera under radarn och installera ytterligare spionageverktyg på infekterade enheter.
En modulär arkitektur för total övervakning
Cellik fungerar som en modulär plattform. Initialt infekteras enheten genom en så kallad ”dropper” – en till synes harmlös applikation som användaren lockas att installera. Väl inne i systemet börjar Cellik kommunicera med en kommando- och kontrollserver (C2) för att hämta specifika moduler beroende på vad angriparen vill uppnå.
Enligt Iverifys rapport har Cellik en skrämmande uppsättning funktioner:
- Ljudinspelning: Trojanen kan aktivera mikrofonen för att avlyssna omgivningen.
- Stöld av meddelanden: Den kan läsa SMS och logga chattmeddelanden.
- Platsspårning: Kontinuerlig övervakning av användarens geografiska position.
- Filåtkomst: Möjlighet att söka igenom och exfiltrera bilder och dokument från enheten.
Utnyttjar Google Play Store som täckmantel
Det mest anmärkningsvärda med Cellik är hur den interagerar med Google Play Store. Genom att använda Androids interna API:er kan trojanen interagera med butikens gränssnitt för att ladda ner och uppdatera sina egna skadliga komponenter.
Genom att maskera dessa nedladdningar som legitima app-uppdateringar eller genom att dölja interaktionen helt för användaren, lyckas Cellik undgå många traditionella säkerhetslösningar. Metoden gör att skadeprogrammet framstår som en del av systemets normala drift, vilket försvårar upptäckt även för vaksamma användare.
Ursprung och spridning
Iverify har spårat Celliks utveckling och konstaterar att koden uppvisar en hög grad av professionalism. Även om det är svårt att peka ut en specifik statlig aktör eller kriminell grupp, antyder komplexiteten att det rör sig om en resursstark utvecklare.
Forskarna betonar att Cellik främst verkar rikta sig mot specifika individer snarare än masspridning, vilket är typiskt för spionprogram (spyware) som används för övervakning av journalister, politiker eller företagsledare.
Hur du skyddar din enhet
Trots Celliks sofistikerade natur finns det grundläggande säkerhetsåtgärder som kan minimera risken:
- Undvik sidoladdning: Installera aldrig appar via APK-filer från osäkra tredjepartswebbplatser.
- Granska behörigheter: Var extremt restriktiv med vilka appar som får tillgång till “Accessibility Services” (Tillgänglighetstjänster), då detta ofta utnyttjas av RAT-program.
- Håll Play Protect aktivt: Se till att Googles inbyggda skydd är aktiverat och genomför regelbundna skanningar.
- Uppdatera systemet: Installera de senaste säkerhetsuppdateringarna för Android så snart de blir tillgängliga.
Upptäckten av Cellik påminner oss om att mobil säkerhet är en ständig kapprustning. I takt med att operativsystemen blir säkrare, hittar angripare nya, kreativa sätt att utnyttja legitima tjänster som Google Play Store för sina egna syften.