Un nouveau spyware Android baptisé Cellik permet de créer des versions piégées d’applications populaires issues du Google Play Store, capables d’espionner un smartphone et siphonner des données sans éveiller les soupçons. Une approche qui change sérieusement la donne.
Repéré par les chercheurs d’iVerify, Cellik se présente comme un RAT Android particulièrement complet, vendu clés en main, capable de transformer un smartphone infecté en poste d’observation et de contrôle à distance. Sa particularité tient moins à une exploitation de faille qu’à la manière dont il est diffusé. Le malware intègre directement le catalogue du Google Play Store dans son outil de création d’APK, ce qui permet aux attaquants de générer des versions modifiées d’applications populaires, ensuite utilisées comme vecteurs d’infection.
Un spyware conçu pour se fondre dans des applications de confiance
Depuis son d’administration interface, les hackers peuvent en effet parcourir les applications disponibles sur le Play Store, sélectionner celle de son choix, puis créer une copie quasi-conforme intégrant les composants du spyware. Pour que le piège fonctionne, cette version altérée conserve son nom, son apparence et ses fonctionnalités, de sorte que la personne qui l’installe puisse l’utiliser normalement, sans se douter de son caractère malveillant.
Le vendeur de Cellik affirme que cette méthode permettrait de contourner les mécanismes de détection de Google Play Protect. Une affirmation qui n’a, à ce stade, été confirmée ni par Google, ni par les chercheurs d’iVerify, mais qui résume bien la logique de l’outil, à savoir exploiter la confiance accordée aux applications connues pour passer inaperçu le plus longtemps possible.
Une fois actif, le malware permet à son opérateur de suivre l’écran en temps réel, d’interagir avec l’interface et de simuler des gestes comme s’il tenait l’appareil en main. Il intercepte également l’ensemble des notifications affichées sur le téléphone, qu’il s’agisse de messages privés, d’alertes d’applications ou de codes de validation à usage unique. Un module de keylogging permet de récupérer les saisies effectuées au clavier, tandis que l’accès au système de fichiers offre la possibilité de consulter, copier ou supprimer des données, y compris dans les répertoires associés à des services cloud synchronisés avec l’appareil. Les échanges avec les serveurs de commande sont chiffrés et l’ensemble fonctionne avec une latence contenue, ce qui rend la prise de contrôle difficile à détecter pour la personne ciblée.
Cellik intègre aussi un navigateur caché, capable de fonctionner à l’insu de la victime. Ce module permet à un attaquant de naviguer sur le web, de cliquer sur des liens ou de remplir des formulaires sans afficher quoi que ce soit à l’écran. En exploitant les cookies déjà présents sur l’appareil, il lui est également possible d’accéder à des services en ligne comme si l’utilisateur ou l’utilisatrice était déjà authentifié. Les données saisies via ce navigateur invisible peuvent ensuite être récupérées par le malware.
Autre fonctionnalité clé, le système d’injection dans les applications. Cellik peut afficher de fausses interfaces de connexion par-dessus des applications légitimes ou intercepter directement les données qu’elles manipulent. Plusieurs injections peuvent fonctionner en parallèle, ciblant par exemple des applications bancaires, des services de messagerie ou des réseaux sociaux, avec une centralisation des informations collectées dans le panneau de contrôle du malware.
Comment limiter les risques
À noter que les applications modifiées par Cellik circulent sur le Play Store, mais bien en dehors des circuits officiels, par exemple via des sites de téléchargement ou des liens envoyés directement aux victimes.
Par conséquent, privilégiez autant que possible les installations depuis le store officiel de Google et évitez le sideloading d’APK provenant de sources peu fiables. Dans tous les cas, attardez-vous systématiquement sur les permissions demandées par les applis que vous installez, n’accordez l’accès aux services d’accessibilité qu’aux fonctions d’assistance système ou à des applications dont l’usage le justifie clairement, ne désactivez pas Play Protect, et installez éventuellement un antivirus mobile complémentaire.
En parallèle, prêtez attention aux indices pouvant trahir la présence d’un malware sur un smartphone, comme une consommation de batterie anormalement élevée, des ralentissements inexpliqués, des autorisations réactivées sans intervention ou des comportements inhabituels de certaines applications.
Source : iVerify
