Sebuah malware-as-a-service (MaaS) baru bernama Cellik ditemukan beredar di forum kejahatan siber bawah tanah. Malware ini menawarkan kemampuan berbahaya dengan fitur unik: membuat versi trojan dari aplikasi resmi Google Play, sehingga terlihat sah dan tetap berfungsi seperti aplikasi asli.
Bagaimana Cellik Bekerja
- Penyerang dapat memilih aplikasi dari Google Play Store lalu membuat versi trojan yang mempertahankan antarmuka dan fungsi asli.
- Dengan cara ini, infeksi bisa tidak terdeteksi lebih lama, karena aplikasi tetap berjalan normal.
- Penjual mengklaim metode ini dapat membantu melewati Play Protect, meski klaim tersebut belum terbukti.
Kapabilitas Cellik
Menurut temuan iVerify, Cellik memiliki fitur lengkap, antara lain:
- Merekam dan menyiarkan layar korban secara real-time.
- Menyadap notifikasi aplikasi.
- Menjelajahi sistem file, mengekstrak data, hingga menghapus seluruh isi perangkat.
- Komunikasi dengan server C2 melalui saluran terenkripsi.
- Mode browser tersembunyi untuk mengakses situs menggunakan cookie tersimpan korban.
- App injection system: menampilkan layar login palsu atau menyuntikkan kode berbahaya ke aplikasi lain untuk mencuri kredensial.
- Payload injection ke aplikasi yang sudah terpasang, membuat aplikasi terpercaya tiba-tiba berubah menjadi berbahaya.
Integrasi dengan Play Store
Fitur paling menonjol adalah APK builder Cellik yang terhubung dengan Play Store. Penyerang dapat menelusuri aplikasi populer, memilih target, lalu membuat varian berbahaya.
- Payload disamarkan dalam aplikasi terpercaya, sehingga berpotensi menghindari deteksi otomatis Play Protect.
- Payload menggunakan teknik obfuscation (case swapping, base64 encoding, XOR encryption) untuk menyulitkan analisis.
Dampak dan Ancaman
Payload Cellik dapat:
- Membajak tautan afiliasi di situs e-commerce.
- Menyuntikkan Google Analytics tracking ke setiap halaman.
- Menghapus header keamanan HTTP.
- Menyuntikkan iframe tersembunyi untuk ad fraud dan click fraud.
Walau tidak mencuri kata sandi langsung atau mengarahkan ke phishing, malware ini tetap mengancam privasi dan bisa menjadi lebih berbahaya jika operator mengganti payload.
Cara Melindungi Diri
- Hindari sideloading APK dari sumber tidak terpercaya.
- Pastikan Google Play Protect aktif di perangkat.
- Tinjau izin aplikasi secara berkala.
- Waspadai aktivitas mencurigakan pada perangkat dan akun penting.