Malware Android si maschera da app legittima: come funziona Cellik e perché è così pericoloso

C’è un nuovo nome che circola con sempre più insistenza nei report di sicurezza, ed è uno di quelli che dovrebbero far drizzare le antenne a chiunque utilizzi uno smartphone Android. Si chiama Cellik e rappresenta l’ennesima dimostrazione di come oggi le minacce informatiche non puntino più sulle falle tecniche, ma sulla fiducia degli utenti.

Cellik non si presenta come un’app sospetta, né come un software visibilmente pericoloso. Al contrario, si nasconde dove nessuno se lo aspetta: dentro applicazioni legittime e popolari, identiche a quelle che milioni di utenti scaricano ogni giorno. Ed è proprio questo il suo punto di forza.

Secondo quanto rivelato dagli analisti di iVerify, Cellik è un Remote Access Trojan (RAT) estremamente avanzato, progettato per trasformare lo smartphone della vittima in un dispositivo completamente controllabile a distanza. Un vero e proprio telecomando digitale, nelle mani sbagliate.

Un controllo totale, silenzioso e invisibile

Una volta installato, Cellik apre le porte a uno scenario inquietante. L’attaccante può vedere lo schermo in tempo reale, controllare ogni tocco, leggere messaggi, notifiche e codici di autenticazione temporanei. Può accedere ai file archiviati sul telefono, ai dati del browser, alle credenziali salvate e persino ai cookie di sessione.

Il malware integra anche un keylogger, capace di registrare tutto ciò che l’utente digita, comprese password e dati bancari. Non solo: Cellik permette di caricare e scaricare file, cancellarli, navigare sul web, compilare moduli online e accedere agli account cloud collegati allo smartphone. Tutto questo avviene senza rallentamenti evidenti e, soprattutto, senza segnali visibili per la vittima.

Queste funzionalità, prese singolarmente, non sono nuove nel mondo dei RAT. Ciò che rende Cellik davvero pericoloso è il modo in cui arriva sul dispositivo.

Leggi anche:

• Le TV Box IPTV pirata sfuggono ai blocchi… ma espongono gli utenti a rischi enormi

Il trucco che inganna anche Play Protect

Cellik fa parte del filone sempre più diffuso del malware-as-a-service, ovvero malware venduti come servizi pronti all’uso. In pratica, anche criminali con competenze tecniche limitate possono affittare questo strumento e lanciare attacchi sofisticati con pochi clic.

Attraverso un pannello di controllo dedicato, l’aggressore può sfogliare l’intero catalogo del Google Play Store, scegliere un’app legittima e “impacchettarla” insieme al trojan. Il risultato è un nuovo file APK apparentemente innocuo, ma che contiene Cellik al suo interno.

Come spiegano i ricercatori di iVerify, basta un clic per generare una versione compromessa di un’app autentica. Queste app infette non vengono distribuite tramite il Play Store ufficiale, ma attraverso canali alternativi, siti di download esterni, forum, gruppi Telegram o link inviati via messaggio. È qui che entra in gioco il social engineering, che sfrutta la fretta, la disattenzione o la voglia di risparmiare.

Questo metodo consente di aggirare con maggiore facilità Google Play Protect, che fatica a individuare un malware nascosto dentro un pacchetto considerato affidabile. L’utente, vedendo un’icona familiare e un’app che funziona normalmente, abbassa ogni difesa.

Overlay, finte schermate e furto di credenziali

A rendere Cellik ancora più subdolo c’è la funzione di overlay, una tecnica che permette al malware di sovrapporre schermate false alle app reali. È così che vengono simulate, ad esempio, schermate di login perfettamente credibili.

L’utente pensa di accedere alla propria app bancaria, al proprio account Google o a un servizio cloud, ma in realtà sta digitando le credenziali dentro una finestra controllata dal malware. In pochi secondi, username e password finiscono nelle mani dell’attaccante.

Secondo gli esperti, non si tratta di un attacco basato su bug o falle del sistema operativo Android. Cellik sfrutta meccanismi noti e comportamenti umani prevedibili: la fiducia nelle app conosciute, l’installazione tramite sideloading e la sottovalutazione dei rischi legati ai download esterni.

Ed è proprio questo l’aspetto più inquietante: non serve violare Android, basta convincere l’utente a fare il primo passo.

Fonte

Ti potrebbe interessare:

• Blocco antipirateria Amazon su Fire TV Stick: cosa rischi se provi ad aggirare il sistema

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• X (Twitter): x.com/guruhitech1
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].