СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

Cellik: Android‑RAT с полным контролем и интеграцией в Google Play

Cellik — недавно обнаруженный для платформы Android троян удаленного доступа (RAT), который представляет собой серьёзную угрозу мобильной безопасности. По данным отчёта, это вредоносное ПО предоставляет злоумышленнику полноценный контроль над заражённым устройством и использует интеграцию с Google Play Store для упрощённого распространения под видом легитимных приложений.

«Cellik обеспечивает оператору полный контроль над заражённым устройством»

Ключевые возможности Cellik

  • Удалённое управление и имитация ввода: злоумышленник может в реальном времени управлять пользовательским интерфейсом, имитируя касания и ввод так, как будто он физически взаимодействует с телефоном.
  • Потоковая передача экрана: оператор получает видеопоток с экрана устройства, что позволяет наблюдать за действиями пользователя и перехватывать конфиденциальную информацию.
  • Скрытый браузер: Cellik запускает невидимый браузер на устройстве, который может использоваться для автоматизированных фишинговых операций и взаимодействия с веб-ресурсами без ведома владельца.
  • Автоматизированный конструктор APK: встроенный инструмент позволяет выбирать легитимные приложения из Google Play Store и упаковывать их вместе с полезной нагрузкой Cellik, создавая на вид подлинные, но заражённые APK-файлы.

Почему это особенно опасно

Сочетание удалённого RАT-функционала и механизма создания «легальных» установщиков делает Cellik опасным по нескольким причинам:

  • Вредоносные APK выглядят как подлинные приложения, что сильно затрудняет их обнаружение обычным пользователям.
  • Невидимый браузер позволяет запускать фишинговые страницы прямо на устройстве жертвы, минуя многие механизмы защиты, ориентированные на пользовательский браузер.
  • Функциональность по имитации ввода даёт злоумышленникам возможность совершать операции от имени пользователя (вход в аккаунты, перевод средств и т.д.).
  • Инструменты автоматизации снижают порог входа — даже низкоквалифицированный злоумышленник может разворачивать мобильные шпионские операции.

Контекст: рост malware-as-a-service

Cellik вписывается в более широкую тенденцию — распространение платформ типа malware-as-a-service (MaaS), которые предоставляют готовые решения для вредоносных кампаний. Такие сервисы делают сложные инструменты доступными массово, что увеличивает количество и разнообразие атак на мобильные устройства.

Признаки возможной компрометации

  • Необычное потребление батареи и нагрев устройства.
  • Задержки или неожиданное поведение интерфейса (например, самостоятельные клики, переходы по приложениям).
  • Неожиданные всплывающие окна, фишинговые формы или браузер, открывающийся на фоновых процессах.
  • Неожиданная отправка SMS, повышение трафика или подозрительная активность в сетевом трафике.

Рекомендации по защите

  • Не устанавливайте приложения из непроверенных источников; по возможности используйте только Google Play Store и проверяйте издателя.
  • Включите и регулярно проверяйте Google Play Protect и другие мобильные антивирусные решения.
  • Ограничьте права приложений: не предоставляйте лишних привилегий (администрирование устройства, доступ к уведомлениям, SMS и т.д.).
  • Регулярно обновляйте ОС и установленные приложения — патчи закрывают известные уязвимости.
  • Для организаций: внедряйте EMM/MDM решения, фильтрацию сетевого трафика, механизмы детектирования аномалий и строгую политику установки приложений.
  • При подозрении на компрометацию — изолируйте устройство, отключите от сети и проведите полную проверку/сброс к заводским настройкам с последующим восстановлением из надёжной резервной копии.

Вывод

Cellik демонстрирует, как современные злоумышленники комбинируют технические приёмы для обхода защит и упрощения распространения вредоносного ПО. Интеграция с механизмами распространения и автоматизация упаковки повышают риск распространения RAT и делают мобильные устройства привлекательной целью. Пользователям и организациям важно усилить практики безопасности и мониторинг, чтобы снизить вероятность успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: