AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Nueva amenaza MaaS en Android: Cellik permite incrustar malware en apps legítimas de Google Play

admin

Introducción

La aparición de Cellik, un nuevo malware-as-a-service (MaaS) dirigido a dispositivos Android, ha generado una alerta significativa en la comunidad de ciberseguridad. Anunciado recientemente en foros clandestinos de ciberdelincuentes, Cellik destaca por ofrecer la capacidad de incrustarse en cualquier aplicación legítima de Google Play Store, lo que supone un salto cualitativo en el modus operandi de las campañas de malware móvil. El fenómeno MaaS, donde los actores de amenazas pueden adquirir y desplegar herramientas sofisticadas sin desarrollar su propio código malicioso, sigue consolidándose como una tendencia preocupante para CISOs, analistas SOC y profesionales encargados de proteger infraestructuras móviles empresariales.

Contexto del Incidente

Durante el segundo trimestre de 2024, investigadores de varias firmas de ciberinteligencia detectaron múltiples anuncios en mercados clandestinos que promocionaban Cellik como un servicio modular y personalizable, con precios que oscilan entre los 150 y 300 dólares mensuales según las funcionalidades seleccionadas. A diferencia de troyanos bancarios tradicionales como Anubis o Cerberus, Cellik se publicita como una herramienta que puede integrarse en cualquier APK disponible en Google Play, facilitando eludir los mecanismos de revisión de la tienda y propagarse mediante aplicaciones aparentemente legítimas.

Las primeras evidencias de infecciones reales se han observado en Europa y Latinoamérica, con un incremento del 12% en los reportes de compromisos móviles atribuidos a este malware durante el mes de mayo, según datos de Kaspersky y ThreatFabric. Las campañas identificadas aprovechan el creciente BYOD (bring your own device) y la falta de segmentación en entornos corporativos, lo que incrementa el riesgo de movimientos laterales y exfiltración de datos corporativos.

Detalles Técnicos

Cellik se distribuye como un framework MaaS, accesible desde paneles web ocultos mediante Tor y pagos en criptomonedas para preservar el anonimato de los operadores. El binario principal se ofrece como un payload DEX que puede ser empaquetado en cualquier APK utilizando herramientas automatizadas proporcionadas por los desarrolladores del malware. No existe, de momento, un CVE específico asignado, ya que la técnica abusa de permisos legítimos y compila el código malicioso junto a aplicaciones no vulnerables.

Los vectores de ataque identificados incluyen:

– Embedding directo en apps populares de Google Play (T1566.001, MITRE ATT&CK: Spearphishing via Service).
– Distribución mediante enlaces de descarga en SMS y plataformas de mensajería (T1476, Deliver Malicious App via SMS).
– Side-loading en dispositivos con configuración de seguridad laxa.

Entre las capacidades técnicas de Cellik destacan:

– Captura silenciosa de credenciales mediante overlays y keylogging.
– Exfiltración de datos sensibles (SMS, contactos, localización, archivos).
– Control remoto del dispositivo vía comandos C2 cifrados.
– Evasión de sandbox y mecanismos anti-análisis mediante detección de emuladores y entornos virtualizados.
– Persistencia robusta tras reinicio del dispositivo.

Los indicadores de compromiso (IoC) incluyen hashes SHA256 de APKs maliciosas, direcciones de dominio .onion de paneles de C2 y patrones de tráfico anómalo identificados en las redes afectadas.

Impacto y Riesgos

El impacto potencial de Cellik es considerable, especialmente para organizaciones con flotas de dispositivos Android gestionados de forma insuficiente. Al incrustarse en apps legítimas, Cellik puede eludir controles de seguridad tradicionales basados en listas blancas, permitiendo la exfiltración masiva de datos corporativos y personales. La capacidad de persistencia y control remoto abre la puerta a ataques de ransomware móvil, fraude bancario y espionaje empresarial.

Según estimaciones preliminares, la tasa de infecciones exitosas en entornos empresariales podría alcanzar el 8%, con pérdidas económicas asociadas que superan los 5 millones de euros globales en el primer mes de actividad detectada. Además, la exposición de datos personales puede suponer sanciones significativas bajo el GDPR, especialmente en sectores regulados como banca y sanidad.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de infección por Cellik, se recomienda:

– Restringir la instalación de aplicaciones a fuentes autorizadas y verificar la integridad de los APKs mediante hashes.
– Implementar soluciones EDR móviles con capacidades de detección de overlays y comportamientos anómalos.
– Segmentar la red corporativa y limitar los permisos de dispositivos BYOD.
– Monitorizar logs de tráfico saliente y patrones de beaconing a dominios .onion y servicios de C2 conocidos.
– Actualizar políticas de gestión de móviles (MDM) para bloquear la instalación de aplicaciones no auditadas.
– Educar a los usuarios sobre los riesgos de phishing y descarga de aplicaciones fuera de los canales oficiales.

Opinión de Expertos

Expertos como Josep Albors (ESET) y Bart Blaze (Independent Malware Researcher) coinciden en que Cellik representa una evolución en la cadena de suministro de malware móvil. “Ya no basta con analizar el APK base; hay que inspeccionar la integridad de cada actualización y monitorizar el comportamiento en tiempo real”, afirma Albors. Por su parte, Blaze subraya la importancia de la colaboración entre Google y las firmas de ciberseguridad para mejorar la detección proactiva de payloads embebidos mediante análisis dinámico.

Implicaciones para Empresas y Usuarios

El fenómeno Cellik pone de manifiesto la necesidad de revisar en profundidad las políticas de seguridad móvil, tanto a nivel técnico como de concienciación. Empresas sujetas a NIS2 y otras regulaciones deben reforzar sus controles de acceso, implementar soluciones de gestión de parches para móviles y establecer procedimientos de respuesta ante incidentes que incluyan el análisis forense de dispositivos Android.

Para los usuarios finales, la recomendación es clara: evitar la descarga de aplicaciones no verificadas y prestar atención a los permisos solicitados, así como mantener el sistema operativo y las apps actualizadas.

Conclusiones

Cellik representa una nueva generación de amenazas móviles que aprovechan el modelo MaaS para bajar la barrera de entrada al cibercrimen y aumentar el alcance de los ataques. Su capacidad para camuflarse en aplicaciones legítimas de Google Play supone un serio desafío para los equipos de ciberseguridad, que deben adoptar un enfoque holístico y proactivo en la defensa de los entornos móviles.

(Fuente: www.bleepingcomputer.com)