En las últimas semanas, la comunidad de ciberseguridad ha identificado dos nuevas amenazas dirigidas a dispositivos Android que ponen en evidencia cómo los atacantes están evolucionando sus técnicas para comprometer a usuarios móviles. Una de ellas, llamada Cellik, permite a los delincuentes generar versiones maliciosas de apps aparentemente legítimas, mientras que otra, denominada DroidLock, ataca bloqueando dispositivos y exigiendo un rescate.

Cellik: malware que reempaqueta apps de Google Play

Uno de los nuevos riesgos es Cellik, un malware-as-a-service (MaaS) que está siendo ofrecido en foros clandestinos delictivos con capacidades particularmente preocupantes. Este software malicioso permite a los atacantes seleccionar aplicaciones disponibles en Google Play y crear versiones “troyanizadas”, que conservan la interfaz original y funciones esperadas, pero incorporan componentes dañinos que pueden pasar desapercibidos para el usuario.

Según la investigación de la firma de seguridad iVerify, Cellik posee un conjunto completo de funcionalidades que incluyen la captura y transmisión en tiempo real de la pantalla de la víctima, interceptación de notificaciones, navegación por el sistema de archivos, exfiltración de información y comunicación cifrada con servidores de comando y control. Estas capacidades convierten a una simple app modificada en un vector de espionaje y control del dispositivo.

Quizás lo más llamativo de este malware es su integración con el propio ecosistema de Google Play, ya que el constructor de APKs maliciosos permite a los atacantes buscar en la tienda aplicaciones legítimas, elegirlas y generar variantes dañinas con un clic. El vendedor incluso afirma (aunque no está confirmado) que este método puede ayudar a evadir las defensas de Google Play Protect.

DroidLock: bloqueo y extorsión en Android

La segunda amenaza destacada (aunque fue detectada antes) es DroidLock, un malware que adopta un enfoque distinto pero igualmente dañino: bloquear completamente el dispositivo de la víctima y exigir un rescate para recuperar el acceso. Una vez instalado, este software malicioso puede tomar el control de la pantalla y obligar a la víctima a contactar al atacante, habitualmente a través de un correo electrónico, bajo la amenaza de borrar los archivos si no se paga el monto exigido rápidamente.

El proceso de infección de DroidLock comienza con un dropper que engaña al usuario para instalar un segundo componente malicioso, el cual solicita permisos de “Administrador de Dispositivo” y “Servicios de Accesibilidad”. Con esos permisos elevados, el malware no solo puede bloquear el teléfono, sino también cambiar códigos de bloqueo, contraseñas biométricas e incluso acceder a datos como mensajes, registros de llamadas, contactos y audios.

Una de las tácticas que utiliza es mostrar un overlay (una capa falsa sobre la pantalla normal) que imita elementos del sistema o aplicaciones legítimas, lo que le permite capturar patrones de desbloqueo u obtener información sensible directamente de los usuarios. Aunque DroidLock no cifra archivos como otros ransomware tradicionales, el simple bloqueo del dispositivo y la amenaza de destrucción de datos generan el mismo efecto de extorsión.

IMPORTANTE: DroidLock se distribuye a través de sitios maliciosos que promocionan apps falsas que se hacen pasar por otras legítimas, y apunta específicamente a usuarios de habla hispana. Por lo que hay que extremar las precauciones y siempre asegurarnos de estar descargando aplicaciones desde las tiendas oficiales, e incluso también del desarrollador oficial.