Cellik遠端控制木馬：Android裝置全面掌控與Google Play偽裝技術分析

近期安全社群發現一類名為 Cellik 的遠端控制木馬（RAT），其攻擊手法與 SpyNote、PlayPraetor 等已知木馬高度相似。Cellik 透過偽裝成 Google Play 商店更新頁面，誘使使用者下載惡意 APK，安裝後即取得無障礙服務與裝置管理員權限，從而實現全方位的裝置掌控與勒索。

攻擊流程與主要技術要點

偽裝頁面：Cellik 伺服器提供靜態 HTML、CSS 與 JavaScript，模仿官方 Google Play 更新介面，並在七種語言（英、德、法、意、葡、俄、羅馬尼亞）顯示假更新通知，誘使使用者點擊下載。（iThome, HK01）
多階段加密載荷：首個 APK 只包含解密器，使用 16 位 AES 金鑰解密隱藏於資產目錄中的二段式載荷，並利用控制流混淆與符號混淆難以進行靜態分析。（iThome, Technice）
無障礙服務與裝置管理員：安裝後即要求使用者啟用 AccessibilityService 與 DevicePolicyManager，以取得畫面監控、鍵盤輸入、相機/麥克風控制、以及鎖定裝置與更改 PIN 的能力。（iThome, Technice）
資料竊取與偽造界面：Cellik 能截取聯絡人、簡訊、螢幕截圖、以及銀行/加密貨幣應用程式的登入介面，並在目標 App 前植入偽造登入頁面，竊取雙因素驗證碼與密碼。（Technice, iThome）
遠端桌面與錄屏：利用 MediaProjection API 與自訂 VNC 機制，將手機畫面持續串流給 C2，允許攻擊者遠端操作並監控使用者行為。（iThome, iThome）
命令與控制（C2）：C2 伺服器透過 HTTPS、WebSocket 或自訂協定傳送指令，包含「啟用偽造通知」、「鎖屏勒索畫面」與「執行原廠重置」等功能，並定期上傳竊取資料。（iThome）

防禦與回應建議

只從官方 Google Play 下載應用；對於任何「更新」通知保持懷疑，並直接在設定中驗證來源。（HK01）
在安裝任何 APK 前，確認其簽名證書與官方應用相符；若無法確認，請勿允許安裝。（Technice）
限制無障礙服務權限：在 設定 → 無障礙服務 中，僅允許必要的輔助工具，並定期檢查已授權應用。（iThome）
使用 Mobile Device Management（MDM）與 Google Play Protect，監控設備是否安裝未知應用或啟用無障礙服務。（iThome）
一旦發現可疑活動，立即使用內建的「安全檢查」或第三方防毒軟體進行掃描，並拔除電源或重啟至安全模式，以防止遠端控制持續運作。（Technice）
在企業環境中，應啟用「裝置管理員」的審核流程，並限制使用者自行安裝可繞過管理員權限的應用。（iThome）

結論

Cellik 與 SpyNote、PlayPraetor、Antidot、ClayRat 等遠端控制木馬在攻擊技術上呈現高度相似，核心為「偽裝 Google Play 更新」與「濫用無障礙服務／裝置管理員」。其多階段加密與混淆手法，使靜態分析與防毒軟體難以即時檢測。資訊安全團隊必須以「權限最小化」與「來源驗證」為前提，結合 MDM 與安全掃描，才能有效阻斷此類木馬的擴散與攻擊。