Mã độc Cellik tạo ra các phiên bản lây nhiễm từ các ứng dụng trên Google Play

14:45 | 18/12/2025

Một phần mềm độc hại dạng dịch vụ (MaaS) mới trên Android có tên Cellik đang được quảng cáo trên các diễn đàn tội phạm mạng, cung cấp một bộ tính năng mạnh mẽ bao gồm tùy chọn nhúng mã độc này vào bất kỳ ứng dụng nào có sẵn trên cửa hàng Google Play.

Cụ thể, kẻ tấn công có thể lựa chọn các ứng dụng từ Google Play và tạo ra các phiên bản nhiễm mã độc trông có vẻ đáng tin cậy, đồng thời giữ nguyên giao diện và chức năng của ứng dụng gốc. Bằng cách cung cấp các chức năng như mong đợi, phần mềm độc hại Cellik có thể lây nhiễm mà không bị phát hiện trong một khoảng thời gian dài. Ngoài ra, kẻ điều hành Cellik còn tuyên bố rằng việc đóng gói phần mềm độc hại theo cách này có thể giúp vượt qua sự phát hiện Play Protect, mặc dù điều này chưa được xác nhận.

Công ty bảo mật di động iVerify đã phát hiện Cellik trên các diễn đàn ngầm, nơi phần mềm này được rao bán với giá 150 USD/tháng hoặc 900 USD cho quyền truy cập trọn đời.

Cellik là một phần mềm độc hại Android hoàn chỉnh có khả năng thu thập và truyền phát màn hình của nạn nhân theo thời gian thực, chặn thông báo ứng dụng, đánh cắp tệp tin hệ thống, xóa dữ liệu và liên lạc với máy chủ điều khiển của chúng thông qua kênh mã hóa.

Hình ảnh trực tiếp từ màn hình của nạn nhân

Ngoài ra, mã độc này cũng có chế độ trình duyệt ẩn mà kẻ tấn công có thể sử dụng, để truy cập các trang web từ thiết bị bị nhiễm bằng cách sử dụng cookie đã lưu trữ của nạn nhân.

Cellik cho phép kẻ tấn công phủ lên các màn hình đăng nhập giả mạo hoặc chèn mã độc vào bất kỳ ứng dụng nào để đánh cắp thông tin đăng nhập tài khoản của nạn nhân. Các khả năng được liệt kê cũng bao gồm tùy chọn chèn mã độc vào các ứng dụng đã cài đặt, điều này sẽ khiến việc xác định nguồn lây nhiễm trở nên khó khăn hơn.

Điểm nổi bật nhất là việc tích hợp Google Play vào APK Cellik, cho phép tội phạm mạng duyệt qua cửa hàng để tìm ứng dụng, chọn những ứng dụng họ muốn và tạo ra phiên bản độc hại của chúng.

“Kẻ điều hành tuyên bố Cellik có thể vượt qua các tính năng bảo mật của Google Play bằng cách mã hóa phần mềm độc hại vào các ứng dụng đáng tin cậy, về cơ bản là vô hiệu hóa khả năng phát hiện của Play Protect. Mặc dù nền tảng này thường gắn cờ các ứng dụng không rõ nguồn gốc hoặc độc hại, nhưng các phần mềm độc hại (trojan) ẩn bên trong các gói ứng dụng phổ biến có thể vượt qua các quy trình kiểm tra tự động”, iVerify giải thích .

Để đảm bảo an toàn, người dùng Android nên tránh cài đặt APK từ các trang web không rõ nguồn gốc trừ khi họ tin tưởng nhà phát hành, đảm bảo Google Play Protect được kích hoạt trên thiết bị, kiểm tra quyền truy cập của ứng dụng và theo dõi các hoạt động bất thường.