Vírus transforma apps legítimos da Play Store em Cavalos de Troia com apenas um toque

Uma nova ameaça para Android está circulando em redes cibercriminosas e é capaz de transformar qualquer celular em um dispositivo de espionagem. O Cellik é um trojan de acesso remoto (RAT) recém identificado, que permite que os criminosos obtenham controle total do dispositivo da vítima.

O diferencial do Cellik é que ele se integra diretamente com a Google Play Store e com um construtor automatizado de APK — uma ferramenta de software ou plataforma que simplifica e automatiza o processo de criação (compilação e empacotamento) de arquivos APK (Android Package Kit). Essa conectividade ajuda os invasores a envolver a carga maliciosa em aplicativos legítimos, com apenas um clique.

O Cellik transmite a tela do dispositivo em tempo real com um atraso mínimo e permite que o operador malicioso controle remotamente a interface do usuário — até mesmo simulando toque e deslizes, como se estivesse segurando o aparelho na mão.

Além do controle de toque, os criminosos também conseguem ver tudo que está na tela, então é fácil garantir acesso a contas mesmo com a autenticação de múltiplo fator, já que os códigos muitas vezes chegam por notificações de apps ou mensagens de texto. O malware também é capaz de registrar tudo que é digitado, por meio de keylogging, o que permite a captura de senhas e informações pessoais.

O acesso à câmera e ao microfone transforma o celular em um dispositivo de vigilância audiovisual. O sistema de arquivos fica completamente aberto: o criminoso pode navegar por todos os diretórios, baixar documentos, fotos e vídeos, ou enviar arquivos maliciosos adicionais. Também pode acessar diretórios de armazenamento em nuvem vinculados ao dispositivo. Todas as transferências são criptografadas para evitar detecção.

Navegador fantasma e ataques de phishing

Um dos recursos mais traiçoeiros do Cellik é o módulo de navegador oculto. Esse componente executa uma instância completamente invisível do navegador web no telefone da vítima. O criminoso pode usar esse navegador fantasma para visitar sites, fazer login em contas usando cookies salvos, preencher formulários e realizar atividades online sem que absolutamente nada apareça na tela do usuário.

O invasor recebe capturas de tela em tempo real do que está fazendo neste navegador oculto, criando uma transmissão ao vivo de suas atividades secretas. Isso permite acessar contas bancárias, redes sociais e outros serviços sensíveis usando credenciais já salvas no dispositivo, ou capturar novas credenciais quando a vítima as insere em páginas de phishing.

Sistema de injeção de aplicativos

O sistema de injeção do Cellik adiciona outra camada de sofisticação. Esse recurso permite que o invasor injete código malicioso ou sobreposições falsas em outros aplicativos instalados no telefone. Na prática, quando a vítima abre seu aplicativo bancário, uma tela de login falsa pode aparecer por cima da interface legítima, capturando as credenciais inseridas.

O Cellik vem com um "laboratório de injetores" completo que permite criar modelos de injeção personalizados para diferentes aplicativos. O sistema suporta múltiplas injeções simultâneas: um criminoso poderia configurar ataques de phishing para Facebook, Gmail e WhatsApp ao mesmo tempo, e o RAT coletaria e enviaria todas as credenciais capturadas de volta para o servidor de comando e controle.

Construtor automatizado de aplicativos maliciosos

O aspecto mais alarmante do Cellik é sua integração com a Google Play Store. Através da interface de controle do malware, um criminoso pode literalmente navegar pelo catálogo completo da Play Store, escolher qualquer aplicativo legítimo e popular, e com um único clique, o Cellik gera automaticamente uma versão maliciosa daquele aplicativo.

O RAT é inserido dentro do código do aplicativo legítimo e reempacotado como um instalador que parece completamente normal. Um jogo popular, um aplicativo de utilidade ou qualquer outro software pode ser transformado em um vetor de infecção sem que o usuário tenha qualquer indício de que algo está errado.

Os desenvolvedores do Cellik afirmam que essa técnica pode contornar as proteções do Google Play Protect. Quando o malware está oculto dentro de um pacote de um aplicativo popular e legítimo, as análises automatizadas e os scanners no nível do dispositivo podem falhar em identificá-lo. O aplicativo parece genuíno, executa suas funções normais e opera silenciosamente o componente malicioso em segundo plano.

Malware como serviço: a democratização do cibercrime

O Cellik não é um caso isolado. Ele faz parte de uma tendência crescente no mundo do cibercrime: o mercado de malware como serviço para Android. Esse mercado amadureceu significativamente nos últimos anos, e agora existem plataformas completas onde criminosos, mesmo aqueles com habilidades técnicas limitadas, podem assinar serviços que fornecem RATs totalmente funcionais.

Esses serviços lidam com tudo, desde a geração de APKs maliciosos até a infraestrutura de servidores de comando e controle hospedados na nuvem. O Cellik se junta a outros kits conhecidos como HyperRat, PhantomOS e Nebula, todos oferecendo capacidades similares através de interfaces amigáveis que qualquer pessoa pode usar.

O que diferencia o Cellik é particularmente a integração direta com a Play Store e a amplitude de recursos oferecidos. Além de tudo já mencionado, o malware inclui rastreamento avançado de localização GPS, captura de multimídia em tempo real, vigilância completa de comunicações, capacidade de roubar carteiras de criptomoedas e até análise do comportamento do usuário impulsionada por inteligência artificial.

Como se proteger

Para se proteger contra ameaças como o Cellik, especialistas recomendam:

• Evitar instalar aplicativos de fontes desconhecidas ou fora da Play Store oficial;
• Desconfiar de aplicativos que solicitam permissões excessivas, especialmente acesso a notificações, câmera, microfone e acessibilidade;
• Manter o Google Play Protect sempre ativado;
• Instalar apenas aplicativos de desenvolvedores conhecidos e com boas avaliações;
• Verificar regularmente as permissões concedidas aos aplicativos instalados;
• Considerar o uso de soluções de segurança mobile para empresas;
• Ficar atento a comportamentos estranhos do dispositivo, como aquecimento excessivo, bateria descarregando rápido ou consumo alto de dados.