Cellik: malware Android tipo MaaS que reempaqueta apps de Google Play para crear versiones maliciosas

Resumen del hallazgo

Un nuevo servicio de malware para Android, denominado Cellik, está siendo anunciado en foros clandestinos y promete un conjunto de capacidades avanzadas, entre ellas la opción de incorporar el código malicioso en cualquier aplicación publicada en Google Play. Según los anuncios, los operadores pueden generar versiones troceadas y maliciosas de apps legítimas para distribuirlas fuera (o, potencialmente, dentro) de canales oficiales.

“Un nuevo malware Android como servicio (MaaS) llamado Cellik se está anunciando en foros clandestinos ofreciendo un conjunto robusto de capacidades que incluyen la opción de insertarlo en cualquier aplicación disponible en Google Play.”

Contexto y antecedentes: por qué importa

El fenómeno de malware-as-a-service (MaaS) ha abaratado y simplificado la comisión de fraudes y ataques móviles: actores con pocos conocimientos técnicos pueden alquilar herramientas listas para usar. Android, con una cuota de mercado global de dispositivos móviles claramente mayoritaria (>70%), sigue siendo el objetivo preferente para autores de malware por su amplia base de usuarios y la fragmentación del ecosistema.

La técnica de reempaquetado (repackaging) —tomar una app legítima, insertar código malicioso y volver a distribuirla— es conocida y ha sido empleada por familias previas de malware. Casos notables que ilustran el riesgo incluyen a Joker, que fue detectado en apps en Google Play y realizaba fraudes en segundo plano, y FluBot, que se propagó mediante SMS con apps troceadas que robaban credenciales. Estos precedentes muestran que tanto la distribución mediante tiendas alternativas como la infiltración indirecta del ecosistema oficial son amenazas reales.

Cómo funciona Cellik y qué riesgos plantea

Los detalles técnicos completos de Cellik aún dependen de análisis por parte de investigadores; sin embargo, por la naturaleza del servicio y las capacidades anunciadas, se pueden inferir las siguientes modalidades operativas y riesgos habituales asociados a este tipo de malware:

• Reempaquetado de APK: el servicio inyecta código malicioso dentro de un binario de aplicación existente, manteniendo la apariencia funcional de la app para evitar la detección por parte del usuario.
• Distribución multifactor: versiones maliciosas pueden distribuirse fuera de Google Play (mercados de terceros, SMS/Phishing, sitios web falsos) y, dependiendo de la habilidad del operador, intentar publicar apps troceadas en el ecosistema oficial mediante cuentas nuevas o técnicas de evasión.
• Evasión y ofuscación: es habitual que MaaS incluya ofuscación, empaquetado y el uso de técnicas para evadir detección estática y dinámica en sandboxes.
• Capacidades de espionaje y fraude: servicios similares ofrecen capacidades como robo de credenciales, comandos remotos, persistencia y abuso de permisos (por ejemplo, accesibilidad y superposición) para capturar datos sensibles y realizar transacciones no autorizadas.

Análisis y recomendaciones para profesionales (SOC, respuesta a incidentes, desarrolladores)

Para equipos de seguridad, Cellik representa un riesgo por su modularidad y por la reducción de la barrera técnica para llevar a cabo campañas a gran escala. A continuación se detallan medidas y prácticas sugeridas para detección, prevención y respuesta.

• Prevención en la cadena de suministro de aplicaciones: implementar procesos de verificación exhaustiva de aplicaciones que se permiten en dispositivos corporativos (allow-listing) y políticas estrictas para la instalación de apps en entornos gestionados.
• Control de distribución y políticas MDM/EMM: deshabilitar la instalación desde orígenes desconocidos en dispositivos corporativos, forzar actualizaciones automáticas y aplicar políticas de permisos mínimas (principio de menor privilegio).
• Detección estática y dinámica: incluir comprobaciones en pipelines de análisis de APK para buscar señales de reempaquetado: discrepancias en certificados de firma, diferencias en tamaños de clases DEX, cadenas de ofuscación, uso de reflection/dex loading y presencia de bibliotecas sospechosas.
• Monitorización de comportamiento en endpoints móviles: desplegar soluciones MTD (Mobile Threat Defense) y EDR con capacidades para identificar abusos de permisos (accesibilidad, superposición), tráfico anómalo y conexiones hacia dominios/IPs sospechosas.
• Caza de amenazas y análisis de red: buscar indicadores como certificados de firma nuevos o inusuales en apps que aparecen en dispositivos corporativos, patrones de tráfico cifrado persistente hacia servidores de comando y control, y actividad de exfiltración fuera de horas laborales.
• Respuestas ante detección: aislar el dispositivo afectado, analizar la APK maliciosa en un entorno controlado para extraer IOC, rotar credenciales afectadas y notificar a usuarios potencialmente comprometidos.

Implicaciones para usuarios y organizaciones; recomendaciones prácticas

Las organizaciones y usuarios finales deben actuar con una combinación de higiene digital, herramientas y políticas. Recomendaciones prácticas y de bajo coste que reducen la superficie de ataque:

• No instalar aplicaciones desde fuentes no verificadas. Priorizar descargas desde tiendas oficiales y comprobar la reputación del desarrollador.
• Revisar permisos solicitados por las aplicaciones: desconfiar de apps que piden permisos excesivos para su funcionalidad (por ejemplo, accesibilidad, SMS, administración de dispositivos).
• Activar Google Play Protect y mantener sistemas y aplicaciones actualizados para minimizar vulnerabilidades conocidas.
• Utilizar autenticación multifactor (MFA) en servicios críticos y rotar credenciales si se sospecha exposición.
• Para empresas: aplicar políticas de gestión de dispositivos móviles (MDM/EMM), listas blancas de apps y segmentación de red para limitar el acceso que un dispositivo móvil puede tener a sistemas sensibles.
• Formación y simulacros: educar a empleados sobre phishing, enlaces y mensajes que inducen a instalar apps, y establecer procesos claros para reportar sospechas.

Comparables y tendencias observadas

Cellik encaja dentro de una tendencia más amplia donde el acceso a infraestructuras de fraude y espionaje móvil se comercializa como servicio. Ejemplos previos ilustran las tácticas empleadas:

• Joker: detectado en varias ocasiones en Google Play, realizaba fraudes automáticos y sus apps fueron eliminadas por Google tras detección.
• FluBot: se propagó masivamente mediante SMS con enlaces a aplicaciones maliciosas y mostró la eficacia del engaño social combinado con apps troceadas.
• Familias como Anubis, TeaBot o EventBot han demostrado cómo capacidades de acceso remoto y abuso de permisos pueden facilitar el robo de credenciales bancarias.

La lección común es que el reempaquetado y la desinformación en la distribución permiten que aplicaciones legítimas sirvan como vector para ataques a gran escala.

Conclusión

Cellik representa una evolución en la oferta de malware-as-a-service dirigida a Android: combina la practicidad del MaaS con la técnica de reempaquetado para generar versiones maliciosas de aplicaciones legítimas. Para mitigar el riesgo es imprescindible combinar controles técnicos (MDM, detección en red y en dispositivo, análisis de APK), procesos organizativos (políticas de instalación y formación) y una vigilancia activa en la cadena de suministro de aplicaciones. La amenaza subraya que la seguridad móvil debe abordarse como un componente continuo de la estrategia de ciberseguridad, no solo como una cuestión de dispositivos individuales.

Source: www.bleepingcomputer.com