文章总结： Cellik是一种新型安卓远程控制木马，采用恶意软件即服务模式。它具备实时屏幕串流、键盘记录及隐藏浏览器等高级功能，攻击者可利用APK生成器将载荷注入合法GooglePlay应用以绕过防护。该工具允许完全设备控制与后台欺诈，显著降低了移动网络犯罪门槛。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报

无声劫持者：新型 Cellik 安卓远程控制木马将合法的 Google Play 应用变成监控工具

原创

ZM

暗镜

2025年12月22日 21:14 北京

一种复杂的新型安卓远程访问木马（RAT）已在网络犯罪网络中出现，它为攻击者提供了一种“一站式”解决方案，可以通过嵌入合法应用程序来劫持智能手机。iVerify 的一份新报告详细介绍了 Cellik 的功能。Cellik 是一个恶意软件即服务（MaaS）平台，它将高级间谍功能与一种极其简单的传播方式相结合：将恶意代码封装在受信任的 Google Play 应用商店应用中。

Cellik 不仅仅是另一种恶意软件；它代表着移动威胁形势的成熟，高端监控工具正变得容易被低技能的网络犯罪分子所利用。

报告称，Cellik 正在地下论坛上以综合间谍软件解决方案的名义进行推广。攻击者只需每月支付 150 美元起的订阅费，即可访问一个堪比国家级间谍工具的控制面板。

报告指出： “Cellik是通过网络犯罪网络发现的，它具备以往只有高级间谍软件才有的功能。”这些功能包括“实时屏幕串流、键盘记录、远程摄像头/麦克风访问、隐藏网页浏览、通知拦截，甚至还有一个用于窃取其他应用程序数据的应用程序注入系统”。

Cellik一旦安装，便可赋予操作者对受害者设备的完全控制权。该远程访问木马具备类似VNC的功能，允许攻击者实时查看屏幕并以极低的延迟远程控制用户界面。

“这意味着攻击者可以实时观看受害者的屏幕，延迟极低，并模拟点击或滑动操作，就像拿着设备一样。”

除了被动监控之外，Cellik 还会主动进行欺诈活动。它包含一个“隐藏浏览器”模块，该模块会在后台隐蔽运行。攻击者可以利用该模块，通过受害者自身的会话 cookie 访问银行网站或钓鱼页面，而手机所有者却毫不知情。“攻击者可以通过这个隐藏浏览器远程访问网站、点击链接并填写表单，而手机所有者在屏幕上看不到任何活动。”

Cellik 最令人担忧的特点或许在于它与 Google Play 商店的集成。该恶意软件包含一个自动化的“APK 生成器”，攻击者可以直接从控制面板浏览 Google Play 商店目录，选择一个热门的合法应用，并将 Cellik 的有效载荷注入其中。

“Cellik 的独特之处在于它与 Play Store 应用的集成，以及在这个价位上所拥有的强大功能。”

攻击者将远程访问木马（RAT）捆绑在功能齐全且易于识别的应用程序（例如游戏或实用程序）中，从而提高安装成功率并绕过安全过滤器。“卖家声称，Cellik 可以通过将其有效载荷封装在受信任的应用程序中来绕过 Google Play 的安全功能，从而有效地禁用 Play Protect 的检测。”

Cellik是“一站式”安卓恶意软件平台这一更广泛趋势的一部分，与HyperRat、PhantomOS和Nebula等平台齐名。这些服务降低了网络犯罪的门槛，使得任何花费几百美元的人都能开展复杂的移动间谍软件活动。

Cellik 的终身许可证售价为 900 美元，这为威胁行为者提供了一条令人不安的、价格低廉的途径，让他们可以窃取加密钱包、拦截 2FA 代码并进行 AI 驱动的用户行为分析。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《无声劫持者：新型 Cellik 安卓远程控制木马将合法的 Google Play 应用变成监控工具》