🛡 概要
地下フォーラムで新たなAndroidマルウェア・アズ・ア・サービス(MaaS)「Cellik」が販売されており、Google Play上の正規アプリを選んでトロイの木馬化した変種APKを生成できる点が特徴です。外観や本来の機能を保ったまま不正機能を同梱するため、被害者や自動審査に発見されにくく、長期潜伏が可能になります。報告では月額約$150、買い切り$900で提供され、画面のリアルタイム取得、通知傍受、ファイル探索・窃取、データ消去、暗号化されたC2通信、隠しブラウザ(被害端末のクッキーを流用)やアプリのオーバーレイ注入による認証情報窃取などを備えます。なお、Google Play Protect回避の主張は未確認情報です。
🔍 技術詳細
Cellikは、攻撃者がGoogle Playのアプリ一覧から対象を選び、正規アプリに悪性ペイロードを同梱して再パッケージ化するビルダーを提供します。見た目と機能は元アプリと同等に保たれ、ユーザの期待通りに動作する一方で、不正コードがバックグラウンドで作動します。機能面では、AndroidのMediaProjection API経由の画面キャプチャ/配信(起動時にユーザ承認ダイアログを伴うが、ソーシャルエンジニアリングで許可を誘導されやすい)、NotificationListenerServiceの登録による通知の傍受、外部/共有ストレージの走査とファイルの外送、暗号化されたC2チャネル(TLS等)によるコマンド受信・データ送信が挙げられます。さらに、SYSTEM_ALERT_WINDOW(他のアプリの上に重ねて表示)やAccessibilityサービスの悪用で、偽ログイン画面のオーバーレイや入力捕捉を行い、銀行/SNS/メールなどの資格情報や2FAトークンを奪取します。隠しブラウザ機能はWebViewや端末のCookieストア経由で被害者のセッションを引き継ぎ、不正アクセスを端末発に見せかけます。インストール済みアプリへの「ペイロード注入」は、再パッケージ版の配布やオーバーレイを意味すると解釈するのが妥当で、プロセス間の直接コード注入は通常の権限では困難です。Play Protect回避はベンダ主張であり、一般論として人気アプリに包まれた不正コードは自動審査や端末スキャナの誤検知回避につながる可能性がありますが、保証はありません。CVSSはCVEに紐づく脆弱性ではないため該当しません。
⚠ 影響
・個人/企業アカウントの乗っ取り、金融被害、クラウド/業務SaaSへの不正ログイン。
・端末内のドキュメント/媒体の窃取、通知経由でのワンタイムコード攫取。
・被害端末からの「正規ユーザ起点」に見える操作(隠しブラウザ)により、異常検知を回避した不正送金や設定変更が成立。
・データワイプ機能による不可逆な消失、バックアップ不備時の業務中断。
🛠 対策
・モバイルMDM/MTDの導入:許可リスト配布(Managed Google Play)、サイドローディング禁止、未知アプリ・高リスク権限のブロック。
・権限最小化:SYSTEM_ALERT_WINDOW、BIND_ACCESSIBILITY_SERVICE、通知アクセスの申請アプリを厳格に審査。
・ネットワーク制御:ゼロトラスト/DoH/プロキシで未知ドメインへの長時間TLSビ―コンを検出。
・ユーザ教育:画面録画許可、通知アクセス許可、アクセシビリティ有効化のリスクを周知。
・自社モバイルアプリの防御:RASP/改ざん検出、root検知、WebView/クッキー保護、Play Integrity APIの活用。
・インシデント対応計画:端末隔離、企業資産からのアカウント・セッション失効、バックアップからの復旧手順を整備。
📌 SOC視点
収集すべきテレメトリ:
・権限/機能イベント:アクセシビリティ有効化、通知リスナ登録、オーバーレイ許可、UsageStats、インストールソース(adb/不明)。
・API利用痕跡:MediaProjection開始イベント、常時フォアグラウンドサービス実行、Accessibilityイベント高頻度発生。
・ネットワーク:未知FQDNへの周期的TLS通信、SNIがランダム/新規登録ドメイン、DoH/Proxy回避の直出し。
・ファイル操作:外部ストレージ横断的読み出しの急増、連続的圧縮・暗号化後の送信。
ハンティング例(観点):1) 新規インストール直後に通知アクセス+オーバーレイ+MediaProjectionの連続要求。2) 端末アイドル時にも継続する小容量TLSビ―コン。3) WebViewプロセスの異常な外部アクセス急増。
📈 MITRE ATT&CK
・Initial Access(モバイル):正規アプリの再パッケージ版やサイドローディングによる不正アプリ導入。
・Execution:同梱ペイロードのバックグラウンド実行、フォアグラウンドサービス常駐。
・Persistence:自動起動、権限維持(通知リスナ/アクセシビリティ/オーバーレイ)。
・Defense Evasion:正規アプリ内への同梱、難読化、人気アプリ偽装による検知回避。
・Credential Access:オーバーレイ/入力捕捉、通知傍受、セッションCookieの流用。
・Discovery/Collection:ファイルシステム探索、画面キャプチャ、アプリ一覧取得。
・Command and Control:暗号化チャネルでのC2通信。
・Exfiltration:収集データの段階的送信、低量・間欠ビ―コン化。
・Impact:データ消去(ワイプ)。
🏢 組織規模別助言
・小規模(〜50名):端末はBYODでもMDMライト(Android Enterprise)で許可リスト配布とサイドローディング禁止。Googleアカウントの2段階認証とセッション失効手順を文書化。
・中規模(50〜500名):MTD連携(Lookout/Microsoft Defender for Endpoint/他)で高リスク権限要求のブロック、自動隔離。Managed Google Playで私用アプリ配布を閉域化。
・大規模(500名〜):ゼロトラスト(端末健全性+ユーザ+アプリの多要素)でSaaSアクセスを制御。モバイル特化の検知プレイブックとレッドチーミング(オーバーレイ/MediaProjection悪用想定)を定期実施。
🔎 類似事例
・Joker(Playストア混入でのサブスク不正)
・SharkBot(ドロッパー経由でのバンキング詐欺)
・Xenomorph / Anatsa(TeaBot)(オーバーレイと通知傍受)
・Cerberus / FluBot(SMSフィッシングと情報窃取)
注:本件は特定CVEに依存しないマルウェア手口であり、CVSSは該当しません。
🧭 次の一手
・自社のAndroid端末ポリシーを棚卸し(サイドローディング禁止、許可リスト運用、危険権限の申請フロー)。
・MTD評価版を用いたPoC(通知アクセス/オーバーレイ/MediaProjection要求の検知力検証)。
・SaaSのセッション保護強化(短命クッキー、デバイスバインド、リスクベース認証)。
・ユーザ向け1分チェックリスト(「この3つの許可は要注意」)を配布し、被害前の抑止を図る。
