Svet mobilnej bezpečnosti čelí novej a mimoriadne sofistikovanej hrozbe, ktorá stiera hranice medzi bežným používateľom a obeťou kybernetického útoku. Spoločnosť iVerify odhalila na darknete nový typ malvéru s názvom Cellik, ktorý funguje na princípe „malvér ako služba“. To, čo robí tento škodlivý kód prelomovým, je jeho schopnosť parazitovať na legitímnom softvéri, informuje server MobilMania.cz.
Útočník si v sade nástrojov jednoducho vyberie akúkoľvek populárnu aplikáciu alebo hru z Google Play, akoby listoval v katalógu, a jediným kliknutím k nej „prilepí“ škodlivý kód. Výsledkom je inštalačný súbor, ktorý sa tvári ako známa aplikácia a dokáže oklamať aj automatizované ochranné systémy, ako je Google Play Protect.
Útočníkovi potom stačí tento súbor umiestniť na internet a čakať, kým si ho obeť stiahne v domnení, že inštaluje populárnu hru alebo nástroj.
Úplná kontrola na diaľku
Najdesivejším aspektom malvéru Cellik nie je spôsob šírenia, ale miera kontroly, ktorú útočníkovi poskytuje. Po infikovaní sa telefón mení na bábku v rukách cudzieho človeka.
Útočník má k dispozícii prehľadnú webovú konzolu, cez ktorú vidí presne to isté, čo sa deje na displeji obete v reálnom čase. Vidí stav batérie, signál, ale môže telefón aj aktívne ovládať, teda spúšťať aplikácie, sťahovať ďalšie súbory alebo meniť nastavenia, zatiaľ čo užívateľ môže len bezmocne sledovať, ako si jeho telefón „robí, čo chce“.
Na pozadí tohto divadla prebieha tichá krádež dát. Malvér funguje ako keylogger, čo znamená, že zaznamenáva všetko, čo používateľ napíše na klávesnici, a ukladá to do databázy útočníka. Súkromné správy, vyhľadávania, ale predovšetkým heslá tak končia priamo na monitore hackera.
Neviditeľný prehliadač a krádež účtovníctva
Sofistikovanosť nástroja ide ešte ďalej v oblasti monetizácie a phishingu. Cellik obsahuje skrytý webový prehliadač, ktorý beží na pozadí bez vedomia majiteľa. Útočník môže cez tento prehliadač generovať zisk klikaním na reklamy alebo podstrčiť užívateľovi falošné prihlasovacie okná.
V praxi to vyzerá tak, že ak otvoríte bankovú aplikáciu alebo sociálnu sieť, malvér prekryje skutočnú aplikáciu vernou kópiou prihlasovacej obrazovky. Nič netušiaci používateľ zadá svoje meno a heslo, ktoré však neputujú do banky, ale priamo do úložiska v ovládacej konzole útočníka.
Okrem toho má malvér prístup k notifikáciám, čo mu umožňuje čítať jednorázové overovacie SMS kódy (2FA) a obchádzať tak dvojfaktorové overenie.
