Киберпрестъпници стартираха фишинг кампания, която използва фалшива страница за сигурност на Google акаунти, за да инсталира злонамерено уеб-базирано приложение (PWA). То има възможности за:

• Кражба на еднократни пароли (OTP)

• Събиране на адреси на криптовалутни портфейли

• Проксирване на трафика на атакуващия през браузъра на жертвата

PWAs се изпълняват в браузъра, но могат да бъдат инсталирани като самостоятелно приложение, което работи без видими браузърни контроли.

Как работи атаката

Кампанията използва домейна google-prism[.]com, който се представя за легитимен Google Security сайт. Потребителят преминава през фалшив процес на настройка с четири стъпки, който включва:

• Даване на високорискови разрешения на приложението

• Инсталиране на PWA

• В някои случаи – инсталиране на Android APK за „защита на контактите“

Злонамереното приложение може да:

• Достъпва контакти, GPS данни и съдържание от клипборда

• Работи като HTTP прокси, позволявайки на атакуващия да маршрутизира заявки през браузъра на жертвата

• Сканира вътрешната мрежа за активни хостове

• Прекъсва и следи OTP чрез WebOTP API

• Изпраща фалшиви сигнали чрез push уведомления, за да накара жертвата да отвори приложението отново

Злонамерен Android APK

При активиране на „допълнителните функции за сигурност“, жертвата получава APK файл, който:

• Има 33 опасни разрешения, включително SMS, контакти, микрофон и достъп до call logs

• Може да инсталира клавиатура за записване на натискания, слушател на известия и услуга за перехващане на автоматично попълнени пароли

• Регистрира се като администратор на устройството, стартира автоматично при включване и възстановява компоненти при опити за деинсталация

• Позволява overlay атаки за фишинг в други приложения

Как да се защитите

• Google не използва уеб попъпи за проверка на сигурността или инсталиране на приложения. Всички функции са достъпни през myaccount.google.com

• Проверете за приложение с име „Security Check“ и го деинсталирайте

• Ако е наличен „System Service“ с пакет com.device.sync, отнемете администраторските права в Settings > Security > Device admin apps, след което го премахнете

• На Chromium-базирани браузъри (Chrome, Edge) и Safari следвайте инструкциите на Malwarebytes за премахване на уеб PWA

• На Firefox и Safari някои функционалности са ограничени, но push уведомленията все още могат да работят

Тази кампания демонстрира как легитимни браузърни функции, съчетани със социално инженерство, могат да позволят пълна компрометация на устройството без експлоатация на конкретна уязвимост.