أثار ظهور برنامج Cellik الخبيث اهتمام خبراء الأمن السيبراني بعدما كشفت عنه iVerify، فهو RAT جديد للتحكم عن بُعد يستطيع استغلال متجر جوجل بلاي عبر إنشاء نسخ خبيثة من تطبيقات أندرويد شرعية ودمجها في تطبيقات موثوقة ليعمل كأداة تحكم عن بُعد على الجهاز المصاب.
ما هو Cellik وكيف يعمل
يُصنّف Cellik ضمن فئة الخدمات المدفوعة، ويتيح للمجرمين شراء نسخ من أي تطبيق بما في ذلك برامج سرقة بيانات الاعتماد وبرامج الفدية وأدوات التصيد، وهو ما يجعله عملياً أداة جاهزة للاستخدام كخادم RAT-as-a-Service مع وجود أداة لإنشاء ملفات APK تلقائية تمكّنه من تصفح متجر Play، تنزيل تطبيق شرعي، ثم دمجه في Cellik وتغليفه ليُوزع على الضحايا مع تجاوز ميزات أمان المتجر.
بعد تثبيت Cellik على هاتف الأندرويد، يحصل المهاجم على سيطرة كاملة ويمكنه بث شاشة المستخدم إلى جهازه والتحكم بالهاتف عن بُعد، كما يحتوي البرنامج على خاصية تسجيل ضغطات المفاتيح، وهو يمكّنه من رؤية الإشعارات وكلمات المرور لمرة واحدة ونظام الملفات، بما في ذلك بيانات المتصفح الحساسة كملفات تعريف الارتباط وبيانات الاعتماد المحفوظة.
وإلى جانب ذلك، يستطيع المهاجم رؤية جميع ملفات الجهاز وتنزيلها أو تحميلها وحذف بعضها، والوصول إلى مساحة التخزين السحابية المرتبطة بالجهاز، إضافة إلى قدرة زيارة مواقع الويب والنقر على الروابط وملء النماذج، وكل ذلك دون أن يلاحظ الضحية أي نشاط ظاهر على شاشته.
ميزة عرض طبقة فوق التطبيقات وتوزيع البرمجيات الخبيثة
تكمن خطورة Cellik في قدرته على عرض طبقة فوق التطبيقات على الهاتف المخترق، ما يسمح بإظهار شاشات تسجيل دخول وهمية أو واجهات مضللة أثناء العمل الطبيعي للمستخدم. كما يوفِّر RAT-as-a-Service أداة إنشاء ملفات APK آلية يمكنها تصفح متجر Play، اختيار تطبيق شرعي، ثم دمجه في Cellik وتغليفه ليتم توزيعه على الضحايا، وبذلك يستطيع المهاجم تجاوز ميزات الأمان في متجر Play مثل ميزة Play Protect للكشف عن البرامج الخبيثة.
كيف تحمي نفسك
للوقاية من هذا النوع من التهديدات، التزم بمتاجر التطبيقات الرسمية وتجنب التثبيت من مصادر خارجية قدر الإمكان، وفي حال اضطررت إلى تثبيت تطبيق من خارج المتجر فافحص ملفات APK يدوياً وتحقّق من قيم التجزئة والتوقيعات قبل التثبيت، وتأكد من معرفة ماهية التطبيق ومصدره بدقة لتقليل فرص الإصابة.
