名為「
Cellik」的 Android 遠端存取木馬程式(RAT)正威脅行動裝置安全,最大特色是
能直接整合 Google Play 商店,讓攻擊者輕鬆製作帶有惡意程式碼的應用程式。
行動安全廠商 iVerify 的研究員 Daniel Kelley 在報告中指出,Cellik 代表 Android 惡意軟體發展的新趨勢。該領域已成熟到「即使技術能力不足的攻擊者,也能輕鬆發動行動間諜軟體攻擊」的程度。
Cellik的運作方式與核心功能
一旦 Cellik 成功感染受害者的 Android 裝置,攻擊者就能獲得完全控制權。系統會將受害者的螢幕畫面即時串流給攻擊者,讓攻擊者可以遠端操控裝置,如同親自持有手機一般。
Cellik 具備多項進階功能:
鍵盤記錄器(keylogger)、
存取所有螢幕通知(含各應用程式的歷史記錄)、
攔截一次性密碼(OTP)、
瀏覽完整檔案系統,以及
竊取敏感的瀏覽器資料(如 Cookie 和自動填入的帳號密碼)。簡單來說,使用者能存取什麼資訊,攻擊者就能取得什麼。
攻擊者可以瀏覽裝置上的所有檔案、下載或上傳檔案、刪除資料,甚至存取與手機連結的雲端儲存目錄。所有檔案傳輸和資料外洩都經過加密處理,以避免被偵測。此外,還能透過隱藏的瀏覽器遠端瀏覽網站、點擊連結、填寫表單,而手機擁有者的螢幕上完全不會顯示任何活動。
與Google Play商店的危險整合
雖然上述功能本身並不算創新,但
Cellik 的真正危險之處在於應用程式注入(app injection)和 Google Play 商店整合功能。應用程式注入讓攻擊者能在受感染手機的其他應用程式上覆蓋惡意介面,例如偽造登入畫面竊取帳號密碼。
此功能還包含注入器建構工具,可針對不同應用程式客製化攻擊。
在 Google Play 商店方面,這個 RAT 服務提供自動化的 APK 建構工具。該工具能直接瀏覽 Google Play 商店、下載合法應用程式、在外層包裝 Cellik 惡意程式碼,再打包供攻擊者散布給其他潛在受害者。
銷售者聲稱 Cellik 能透過將惡意程式碼包裝在受信任的應用程式中,繞過 Google Play 的安全機制,實質上讓 Play Protect 無法偵測。雖然 Google Play Protect 通常會標記未知或惡意的應用程式,但隱藏在熱門應用程式套件中的木馬程式可能躲過自動化審查或裝置層級的掃描。
這些惡意應用程式通常在使用者可能側載應用程式的地方散布。安裝完成後,程式會在背景靜默執行並連接攻擊者的系統。它不依賴漏洞利用,而是仰賴社交工程和使用者的信任。
防護建議與市場定位
iVerify 的報告指出,雖然其他 RAT 也提供類似功能,但 Cellik 特別值得關注。原因有二:其
Google Play 商店整合特性,以及
相對低廉的價格,訂閱費用從每月 150 美元到終身訂閱 900 美元不等。
Cellik 屬於「X 即服務」(
X-as-a-Service) 威脅服務的一種。透過這類服務,技術能力較低的網路犯罪分子也能付費取得各種現成的攻擊工具,包括勒索軟體、憑證竊取程式、網路釣魚工具包、命令與控制 (C2) 基礎設施等。
針對防護措施,專家提出以下建議:
- 優先使用官方應用程式商店,降低接觸惡意程式的風險
- 避免側載應用程式,除非絕對必要
- 若必須手動安裝 APK 檔案,請先驗證雜湊值和數位簽章
- 部署端點偵測與回應(EDR)解決方案,在使用者下載時即時標記問題,並在惡意應用程式安裝後及早阻止威脅
雖然行動安全產品可能偵測到 Cellik 這類惡意軟體,但最有效的防護方式仍是了解社交工程手法,並謹慎下載應用程式。
本文轉載自 DarkReading。