Si eres usuario de Android, conocerás a la perfección todos y cada uno de los iconos de tu interfaz. Y claro, en cuanto ves cierto diseño, sabes reconocer si estás ante la versión oficial o es una copia pirata. Sin embargo, una nueva amenaza que opera con el seudónimo de Cellik justamente es capaz de disfrazarse de cualquier app legal de la Google Play Store, para que la abras y caigas en la trampa.
No es nada nuevo que los ciberataques son cada vez más sofisticados, llegando a unos niveles de profesionalidad que lo realmente difícil es no caer en ellos. En este caso, hablamos de una herramienta de malware como servicio, lo que se conoce como MaaS, y se alquila a delincuentes a precios muy bajos para que estos logren saltarse las barreras de seguridad más infranqueables, usando la propia confianza del usuario en su beneficio.
Según ha podido investigar recientemente la marca de seguridad móvil iVerify, de la que se hace eco el portal BleepingComputer, Cellik no es un virus al uso, sino una plataforma de creación de troyanos. Y está poniendo en aprietos la seguridad de millones de dispositivos.
Cómo actúa Cellik
Lo que hace a Cellik especialmente peligroso es cómo se camufla y distribuye. Normalmente, crear un malware que pareciera una app totalmente legal requería tener altos conocimientos de programación. Pero Cellik ha facilitado esto mucho más, a través de una suscripción de apenas 150 dólares al mes (o 900 dólares por una licencia de por vida), con la que cualquier aspirante a hacker tiene acceso a un panel de control avanzado en la Dark Web.
Pero lo peor de este software malicioso es que está integrado en la Google Play Store y es muy fácil de usar, lo que agrava todavía más el problema: el atacante selecciona una aplicación real y segura de la tienda oficial de Android, para que el software de Cellik descargue esa aplicación, la desempaquete e inyecte su código malicioso en ella. Acto seguido, la vuelve a empaquetar.
El resultado es una aplicación con un troyano, que además, visualmente, es idéntica a la original. Funcionalmente, la app sigue haciendo lo que promete, es decir, si es un juego, podrás jugar, o si es una calculadora, podrás usarla. Sin embargo, en segundo plano, es una herramienta de espionaje total. Juega con la baza de que al mantener la funcionalidad real de la app, el usuario no sospecha nada, por lo que el virus o el malware permanece en el dispositivo durante mucho tiempo.
La Play Store no lo detecta
Además, los vendedores de Cellik aseguran en los foros clandestinos que este método de envolver el malware dentro de una estructura de aplicación legítima permite evadir la detección de Google Play Protect, el antivirus nativo de Android. Aunque Google no ha confirmado si esto es cierto, que este código malicioso pueda no ser detectado por el escáner automático de la tienda de apps es una posibilidad real que está preocupando a los expertos.
¿Qué pueden hacer en tu móvil?
Una vez que la víctima instala la aplicación infectada (generalmente descargada desde sitios web de terceros, enlaces de phishing o tiendas no oficiales), Cellik comienza a hacer de las suyas, estableciendo un canal encriptado con el servidor del atacante, lo que le da control total sobre el dispositivo:
- El atacante puede ver en tiempo real lo que haces en tu móvil. Si abres tu app bancaria, ellos lo ven, pudiendo quedarse con tus códigos y otros datos. Si lees un WhatsApp, ellos lo leerán también.
- Intercepción de notificaciones: Esta función la usan para robar cuentas, ya que permite a los delincuentes leer los códigos de verificación en dos pasos que llegan por SMS, para acceder a tus cuentas.
- Cellik puede abrir un navegador invisible en segundo plano utilizando las cookies de sesión de la víctima. Esto significa que pueden entrar en tus cuentas de correo o redes sociales sin necesidad de saber tu contraseña, ya que el sistema cree que eres tú quien navega.
- Puede registrar cada pulsación de teclado y mostrar pantallas de inicio de sesión falsas sobre las aplicaciones bancarias reales para robar tus credenciales.
