Cellik: Neuer Android-Trojan bringt Spionagesoftware für jedermann

Eine neue Android-Schadsoftware namens Cellik demokratisiert Spionage: Das Trojaner-Baukastensystem bietet Kriminellen mit geringem Aufwand Fähigkeiten, die bisher staatlichen Akteuren vorbehalten waren. Entdeckt wurde die Bedrohung von Forschern des Mobil-Sicherheitsunternehmens iVerify.

Die größte Innovation von Cellik ist seine nahtlose Integration in den Google-Play-Store-Ökosystem. Der Schädling verfügt über einen automatisierten APK-Builder, der direkt mit dem offiziellen Google-App-Katalog verbindet. Angreifer können damit beliebte, legitime Anwendungen – von Spielen bis zu Produktivitäts-Tools – auswählen und sie mit einem Klick in einen Trojaner verwandeln.

Die so „verpackte“ App funktioniert äußerlich genau wie das Original. Das schafft ein trügerisches Sicherheitsgefühl beim Nutzer. Im Hintergrund aber agiert die Schadsoftware lautlos. Die Verbreitung erfolgt derzeit vor allem über Drittseiten und Social-Engineering-Kampagnen, bei denen Nutzer zum manuellen Installieren („Sideloading“) manipuliert werden.

Viele Unternehmen und Nutzer unterschätzen neue mobile Bedrohungen wie Cellik. Echtzeit‑Spionage, versteckte Browser und App‑Injection sind kein Spezialfall mehr, sondern ein wachsendes Risiko für mobile Endgeräte und Firmennetzwerke. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt kompakt aktuelle Angriffsformen, einfache Schutzmaßnahmen und welche Schritte sich sofort umsetzen lassen – auch ohne großes Budget. Jetzt kostenlosen Cyber-Security-Leitfaden anfordern

„Der Verkäufer behauptet, Cellik könne durch das Einbetten in vertrauenswürdige Apps die Google-Play-Sicherheitsfunktionen umgehen“, erklärt Daniel Kelley, Forschungsmitarbeiter bei iVerify. Diese Technik senkt die technische Hürde für die Malware-Verbreitung erheblich.

Totale Kontrolle und unsichtbare Überwachung

Einmal installiert, gewährt Cellik dem Angreifer fast vollständige Kontrolle über das Gerät. Der Schädling baut eine Echtzeitverbindung auf, die es ermöglicht, den Bildschirm des Opfers mit minimaler Verzögerung zu streamen. Der Angreifer kann Tipp- und Wischbewegungen simulieren – als halte er das Smartphone selbst in der Hand.

Das Überwachungsarsenal ist umfassend:
* Live-Keylogging: Erfasst jede Tastatureingabe, um Passwörter und Nachrichten zu stehlen.
* Benachrichtigungs-Abfang: Liest alle eingehenden Meldungen aus, inklusive Einmalkennwörter (OTPs) für Banking-Apps.
* Zugriff auf Dateisystem: Ermöglicht das Durchsuchen, Herunterladen und Löschen von Dateien, auch in Cloud-Speichern.

Besonders heimtückisch ist das „versteckte Browser“-Modul. Dieser unsichtbar im Hintergrund laufende Browser erlaubt es Angreifern, mit der Identität des Opfers Webseiten zu besuchen, Links zu klicken und Formulare auszufüllen. Gespeicherte Cookies und Autofill-Daten helfen Kriminellen so, sich unbemerkt in sichere Konten einzuloggen.

Die Industrialisierung der Mobil-Schadsoftware

Cellik ist der jüngste Schritt in der „Malware-as-a-Service“-Ökonomie. Die Betreiber vermarkten das Tool in Darknet-Foren für etwa 150 Euro monatlich oder 900 Euro für eine „Lizenz auf Lebenszeit“. Diese Preismodelle machen hochentwickelte Spionagesoftware für eine breite Masse von Kriminellen zugänglich.

Die „schlüsselfertige“ Plattform – sie übernimmt alles von der Erstellung der Schadsoftware bis zur Steuerungsinfrastruktur – zeigt eine gefährliche Reife des mobilen Bedrohungsmarktes. „Cellik ist Teil eines größeren Trends bei Android-Malware“, so Kelley. „Das Feld ist so weit gereift, dass selbst technisch wenig versierte Angreifer mit minimalem Aufwand Spionagekampagnen starten können.“

Analyse: Vom Staatstrojaner zur Massenware

Das Auftauchen von Cellik markiert eine kritische Wende: Die Kommerzialisierung hochentwickelter Bedrohungen. Echtzeit-Bildschirmübertragung und versteckte Browser-Manipulation waren bisher teure Werkzeuge für gezielte Angriffe, oft im Umfeld von Staaten. Cellik bringt diese Fähigkeiten nun in den Massenmarkt.

Besondere Besorgnis erregen die „App-Injection“-Fähigkeiten des Trojaners. Damit können Angreifer gefälschte Login-Masken über legitime Banking- oder Social-Media-Apps legen. Da die Malware tiefen Systemzugriff hat, lassen sich diese Overlays perfekt zeitgenau einblenden, wenn der Nutzer die Ziel-App startet. Der Phishing-Versuch wird so fast nicht vom echten Login zu unterscheiden.

Was Nutzer und Unternehmen jetzt tun müssen

Der Erfolg von Cellik wird für 2026 wahrscheinlich Nachahmer und weitere Innovationen auf dem MaaS-Markt inspirieren. Nutzer müssen mit einer Zunahme „trojanisierter“ Versionen populärer Apps auf inoffiziellen App-Stores, Telegram-Kanälen und Phishing-Seiten rechnen.

Für Privatanwender und Unternehmen unterstreicht Cellik die essentielle Bedeutung strenger App-Hygiene:
* Die Option „Installation aus unbekannten Quellen“ auf Android-Geräten sollte deaktiviert bleiben.
* App-Downloads sollten strikt auf den offiziellen Google Play Store beschränkt werden.
* Unternehmen benötigen Mobile Threat Defense-Lösungen, die Verhaltensanomalien erkennen – etwa wenn eine Taschenrechner-App plötzlich Netzwerkzugriff anfordert – und sich nicht nur auf signaturbasierte Erkennung verlassen.

PS: Wenn Sie nach dem Cellik‑Bericht konkret wissen wollen, wie Sie mobile Geräte und Remote‑Arbeit sicherer machen, hilft der Gratis‑Report weiter. Der Download fasst Best‑Practices, technische und organisatorische Maßnahmen sowie praxisnahe Checklisten für Unternehmen und Privatpersonen zusammen — leicht verständlich und sofort umsetzbar. Ideal für IT‑Verantwortliche, Entscheider und alle, die Sicherheitslücken schnell schließen möchten. Gratis Cyber‑Security‑Report herunterladen