CelliK: nowy Android RAT/MaaS z „integracją Play Store”, który potrafi tworzyć trojanizowane wersje legalnych aplikacji

Wprowadzenie do problemu / definicja luki

Na forach cyberprzestępczych pojawił się CelliK – sprzedawany w modelu malware-as-a-service (MaaS) zdalny trojan na Androida (RAT). Unikalną cechą zestawu jest „Play Store integration” w generatorze APK, która pozwala operatorowi wybrać dowolną legalną aplikację z Google Play i zbudować jej trojanizowaną wersję zachowującą funkcjonalność oryginału. Sprzedawca oferuje subskrypcję 150 USD/mies. lub dostęp „lifetime” za 900 USD.

W skrócie

• CelliK zapewnia pełne przejęcie urządzenia: streaming ekranu w czasie rzeczywistym, zdalne sterowanie UI, keylogging, przeglądanie systemu plików, kradzież danych, ukryty przeglądarkowy tryb „hidden browser” oraz system iniekcji do innych aplikacji (np. overlaye logowania).
• Funkcja „Play Store integration” umożliwia jednoklikowe wygenerowanie zainfekowanej wersji popularnej aplikacji – co utrudnia wykrycie i może pomóc obejść Play Protect (deklaracja sprzedawcy, brak niezależnego potwierdzenia).
• Pojawienie się CelliK wpisuje się w trend commoditization mobilnego malware i wzrost ataków na Androida (m.in. 42 mln pobrań złośliwych aplikacji z Google Play w ciągu roku wg Zscaler).

Kontekst / historia / powiązania

Rynek Android MaaS dojrzewa: gotowe panele, chmura C2, buildery APK i „sklepowe” maskowanie obniżają próg wejścia dla afiliantów. W 2024–2025 r. raporty branżowe pokazały silny wzrost mobilnego malware i kampanii bankowych/spyware, a vendorzy (ThreatFabric, Zscaler) opisali kolejne RAT-y z funkcjami DTO/ATS. CelliK naturalnie wpisuje się w tę falę.

Analiza techniczna / szczegóły luki

Moduły CelliK (wg iVerify/BleepingComputer):

• Screen live-stream + zdalne sterowanie (quasi-VNC) dla przejęcia sesji użytkownika.
• Hidden browser: ukryta instancja przeglądarki na urządzeniu ofiary, wykorzystująca zapisane cookies; operator może wykonywać transakcje „jak ofiara”.
• Notification interception: podgląd/eksport powiadomień (w tym OTP z SMS/aplikacji).
• File manager: pełny dostęp do systemu plików, exfiltracja z szyfrowaniem kanału.
• Injection/overlay system: wstrzykiwanie/overlaye nad aplikacjami (np. banki), kradzież poświadczeń, możliwość payload injection w już zainstalowane aplikacje.
• APK builder z integracją Play: przeglądanie katalogu Google Play z poziomu panelu i budowa trojanizowanego APK na bazie wybranej aplikacji.

Model biznesowy: reklama na podziemnych forach, subskrypcja $150/mies. lub $900 „lifetime”. Taki cennik i UX panelu wskazuje na celowanie w afiliantów o niskim/średnim poziomie technicznym, co zwiększa potencjalną skalę dystrybucji.

Wektor dystrybucji: choć funkcja „Play integration” jest szczególnie niebezpieczna dla sideloadingu (pobieranie „zmodyfikowanych” APK poza sklepem), ryzyko dotyczy też repozytoriów i portali z mirrorami APK oraz kampanii smishing/SEO poisoning. (Wnioski z opisu funkcji buildera i trendów dystrybucyjnych na Androidzie).

Praktyczne konsekwencje / ryzyko

• Bypass zaufania do marek/aplikacji: trojanizowana „znana” apka minimalizuje podejrzenia i wydłuża dwell time.
• Ryzyko DTO/ATS: przy zdalnym sterowaniu i overlayach możliwe jest przejęcie kont bankowych, portfeli krypto, kont w serwisach e-commerce i MFS, z ominięciem części mechanizmów MFA (przechwytywanie OTP/„push”).
• Ryzyko dla firm (BYOD/COPE): złożone ataki na mobilne kanały płatnicze i aplikacje korporacyjne; możliwość eksfiltracji danych wrażliwych i nadużyć sesyjnych via „hidden browser”.
• Skala zjawiska: rosnąca liczba złośliwych aplikacji w otoczeniu Google Play (raport Zscaler: 239 aplikacji, 42 mln pobrań w 06.2024–05.2025) zwiększa powierzchnię ataku i „szum” wokół infekcji mobilnych.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IRT i zespołów bezpieczeństwa:

1. Mobile EDR/MTD (np. integracja z MDM/UEM): wymuś polityki blokujące nadanie uprawnień Accessibility dla aplikacji spoza zaufanej listy; monitoruj anomalie (nagłe żądania Accessibility, overlay permission, „draw over other apps”). (Wniosek operacyjny bazujący na taktykach RAT/ATS opisanych w źródłach).
2. Kontrola sideloadingu: blokuj instalacje z nieznanych źródeł, egzekwuj Play Protect i skan md5/sha256 przy onboardingu urządzeń.
3. Hunting/Detekcja:
   • Wskaźniki zachowań: długotrwałe sesje Accessibility, foreground service z ciągłym usage-stat/screen-capture, „ukryta” aktywność przeglądarkowa bez interakcji użytkownika, nietypowe notification listeners.
   • Telemetria aplikacyjna: wykrywanie overlayów nad aplikacjami finansowymi, wzorce ATS (auto-tap/auto-fill). (Wnioski techniczne na bazie taktyk Crocodilus/RatOn i modułów CelliK).
4. App shielding / RASP w aplikacjach mobilnych (bankowość/fintech): detekcja hooków, overlayów, emulatorów, accessibility abuse, root/jailbreak; dynamiczne polityki ryzyka (wstrzymuj transakcje przy wykryciu RAT). (Kontekst branżowy i praktyki anty-DTO).
5. Play Integrity API/SafetyNet: egzekwuj na backendzie wymogi atestacji urządzenia i aplikacji; oznaczaj ryzykowne sesje (np. brak atestu, „debuggable build”). (Praktyka branżowa powiązana z obroną przed RAT/ATS).

Dla użytkowników/HR/infosec awareness:

• Instaluj aplikacje wyłącznie z Google Play i od sprawdzonych wydawców; nie pobieraj APK z linków SMS/komunikatorów. Włącz i nie wyłączaj Google Play Protect. Sprawdzaj żądane uprawnienia (szczególnie Accessibility/overlay).
• Zwracaj uwagę na symptomy: nagłe prośby o nadanie uprawnień, dziwne „nakładki” logowania, samoistne ruchy UI, szybkie drenaże baterii/danych. (Wnioski operacyjne z modułów CelliK).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Crocodilus (ThreatFabric, 03.2025) – zaawansowany banker/RAT z hidden remote control i intensywnym nadużyciem Accessibility; kampanie m.in. w Hiszpanii i Turcji. Brak „Play Store integration” w builderze.
• RatOn (ThreatFabric, 09.2025) – unikalne połączenie NFC relay + ATS + RAT; dystrybucja via dropper/strony 18+. CelliK akcentuje z kolei trojanizowanie legalnych aplikacji i ukryte przeglądanie.
• Trend ogólny (Zscaler 2025) – wzrost transakcji malware mobilnego, w tym spyware i bankerów; rosnąca popularność modeli subskrypcyjnych MaaS. CelliK jest „produktem” tej komodytyzacji.

Podsumowanie / najważniejsze wnioski

CelliK to kolejny krok w uprzemysłowieniu przestępczości mobilnej: tani, łatwy w użyciu, z panelem i builderem, który potrafi „ubrać” payload w popularną aplikację z Google Play. Połączenie zdalnego sterowania, hidden browser i iniekcji otwiera drogę do DTO/ATS i nadużyć finansowych na masową skalę – zwłaszcza, gdy ofiary pobierają „zaufane” aplikacje z linków poza oficjalnym sklepem. Dla zespołów bezpieczeństwa oznacza to konieczność włączenia urządzeń mobilnych w standardowe playbooki SOC, telemetryczne huntingi i kontrolę uprawnień na poziomie MDM/UEM.

Źródła / bibliografia

• BleepingComputer: „Cellik Android malware builds malicious versions from Google Play apps”, 16 grudnia 2025. (BleepingComputer)
• iVerify (Daniel Kelley): „Meet CelliK – A New Android RAT With Play Store Integration”, 16 grudnia 2025. (iVerify)
• Risky.Biz (Risky Bulletin): wzmianka o CelliK i trendach w malware mobilnym, 17 grudnia 2025. (Risky.Biz)
• BleepingComputer: „Malicious Android apps on Google Play downloaded 42 million times” (omówienie raportu Zscaler 2025), 4 listopada 2025. (BleepingComputer)
• ThreatFabric: „Exposing Crocodilus…” (28 marca 2025) oraz „The Rise of RatOn…” (9 września 2025) – kontekst porównawczy. (ThreatFabric)