Ảnh minh họa. Malwarebytes

Các chuyên gia an ninh mạng cho biết, Cellik được quảng bá như một công cụ “tất cả trong một”, cho phép tin tặc toàn quyền kiểm soát điện thoại bị nhiễm, đồng thời thực hiện giám sát thời gian thực với mức độ tinh vi chưa từng thấy trong các dòng mã độc Android phổ biến trước đây.

Kiểm soát thiết bị từ xa như đang cầm trên tay

Sau khi được cài đặt, Cellik cho phép kẻ điều khiển theo dõi màn hình điện thoại theo thời gian thực, mô phỏng thao tác chạm, cuộn, mở ứng dụng và điều hướng giao diện người dùng từ xa. Giao diện điều khiển hoạt động tương tự một phiên VNC (xem và thao tác trực tiếp trên màn hình điện thoại từ xa theo thời gian thực), với độ trễ rất thấp, khiến tin tặc thực hiện các hành vi thao túng như đang sử dụng chính thiết bị của nạn nhân.

Mã độc này còn thu thập toàn bộ thông báo hiển thị trên màn hình, cho phép đánh cắp tin nhắn riêng tư, mã xác thực một lần (OTP) từ ứng dụng ngân hàng, ví điện tử hoặc các nền tảng nhắn tin, yếu tố đặc biệt nguy hiểm trong bối cảnh thanh toán số ngày càng phổ biến.

Cellik được thiết kế như một nền tảng gián điệp hoàn chỉnh, tích hợp nhiều mô-đun như keylogger, truy cập camera và micro, duyệt hệ thống tệp và thư mục. Tin tặc có thể âm thầm tải xuống, tải lên hoặc xóa dữ liệu trên thiết bị, thậm chí truy cập các thư mục lưu trữ đám mây được liên kết với điện thoại.

Toàn bộ dữ liệu trao đổi giữa thiết bị bị nhiễm và máy chủ điều khiển đều được mã hóa, khiến việc phát hiện hành vi đánh cắp thông tin trở nên khó khăn hơn đối với các giải pháp bảo mật truyền thống.

Trình duyệt ẩn và tấn công chèn ứng dụng tinh vi

Không chỉ dừng lại ở việc theo dõi thụ động, Cellik còn hỗ trợ hoạt động web ngầm thông qua một trình duyệt ẩn chạy nền. Thành phần này cho phép tin tặc âm thầm truy cập website, tự động điền biểu mẫu và thu thập thông tin đăng nhập trong khi người dùng không hề thấy trình duyệt hay bất kỳ hoạt động bất thường nào xuất hiện trên màn hình.

Tính năng này có thể lợi dụng cookie đã lưu hoặc dữ liệu autofill để đăng nhập vào các tài khoản trực tuyến, tạo điều kiện cho hành vi chiếm đoạt tài khoản hoặc lừa đảo trực tuyến gần như không thể phát hiện.

Ngoài ra, Cellik còn sở hữu bộ công cụ chèn giao diện giả mạo (app injection), cho phép phủ các màn hình đăng nhập giả lên những ứng dụng hợp pháp như ngân hàng, email hoặc mạng xã hội. Thông tin đăng nhập thu được sẽ được gửi trực tiếp về bảng điều khiển của tin tặc theo thời gian thực.

Giao diện điều khiển mã độc Cellik. Ảnh Cyber Press

Mô-đun “Injector Lab” cho phép tạo giao diện giả tùy chỉnh và triển khai đồng thời nhiều cuộc tấn công trên các ứng dụng khác nhau, nâng cao đáng kể hiệu quả đánh cắp thông tin.

Nguy cơ lớn từ khả năng “đội lốt” ứng dụng trên Google Play

Điểm đáng lo ngại nhất của Cellik là chức năng tích hợp trực tiếp với Google Play và công cụ đóng gói APK tự động. Từ giao diện điều khiển, kẻ tấn công có thể duyệt Google Play, chọn bất kỳ ứng dụng hợp pháp nào, sau đó đóng gói mã độc Cellik vào ứng dụng đó.

File APK tạo ra có giao diện và chức năng giống hệt ứng dụng gốc, nhưng âm thầm cài đặt RAT chạy nền sau khi người dùng cài đặt. Các nhà phát triển Cellik thậm chí tuyên bố phương thức này có thể qua mặt Google Play Protect, cho phép các phiên bản ứng dụng nhiễm mã độc phát tán mà không bị phát hiện ngay lập tức.

Theo các chuyên gia, Cellik là xu hướng “công nghiệp hóa” mô hình Malware-as-a-Service trên nền tảng Android, khi các công cụ tấn công ngày càng được đơn giản hóa, hạ thấp đáng kể rào cản gia nhập đối với tội phạm mạng.

Với khả năng giám sát thời gian thực, đánh cắp dữ liệu nhạy cảm và cấy mã độc vào ứng dụng hợp pháp chỉ bằng một cú nhấp chuột, Cellik cho thấy những năng lực từng chỉ xuất hiện trong các công cụ gián điệp cấp quốc gia nay đã trở nên dễ tiếp cận với tội phạm mạng thông thường, đặt ra thách thức lớn cho công tác bảo vệ người dùng điện thoại di dộng trong tương lai.

An Lâm (Theo Cyber Press)