Обнаружена фишинговая кампания, в которой злоумышленники используют поддельную страницу безопасности Google для распространения веб-приложения, способного перехватывать одноразовые коды (OTP), собирать адреса криптовалютных кошельков и проксировать трафик атакующего через браузер жертвы.
Атака сочетает возможности Progressive Web App (PWA) и методы социальной инженерии. Пользователя убеждают, что он взаимодействует с легитимной страницей Google Security, и побуждают установить вредоносное приложение.
PWA-приложения работают в браузере, но могут устанавливаться с сайта как отдельные программы — они открываются в собственном окне без видимых элементов управления браузером, что усиливает иллюзию легитимности.
Злоумышленники используют домен google-prism[.]com, маскирующийся под сервис безопасности Google. Посетителю демонстрируется четырехэтапный процесс настройки, включающий выдачу опасных разрешений и установку вредоносного PWA. В ряде случаев дополнительно предлагается установить "защитное" Android-приложение для охраны контактов.
По данным исследователей из компании Malwarebytes, веб-приложение способно:
Сайт также запрашивает доступ к тексту и изображениям, копируемым в буфер обмена (при условии, что приложение открыто).
Fake Google security site asking for clipboard access
Кроме того, поддельная страница запрашивает разрешение на показ уведомлений. Это позволяет злоумышленникам отправлять оповещения, новые "задачи" или инициировать эксфильтрацию данных.
Вредоносное приложение использует WebOTP API (в поддерживаемых браузерах) для перехвата SMS-кодов подтверждения и обращается к эндпоинту /api/heartbeat каждые 30 секунд для получения новых команд.
Поскольку PWA может похищать содержимое буфера обмена и OTP-коды только во время своей работы, push-уведомления используются для отправки ложных предупреждений о безопасности, вынуждая пользователя повторно открыть приложение.
Fake Google security site asks for notifications permissions
Исследователи отмечают, что основной акцент сделан на краже одноразовых паролей и адресов криптокошельков. Помимо этого, вредоносное ПО формирует детальный цифровой отпечаток устройства.
В состав PWA входит service worker, отвечающий за push-уведомления, выполнение задач из полученных полезных нагрузок и локальную подготовку похищенных данных к отправке.
Наиболее тревожным компонентом является WebSocket-реле, позволяющее передавать веб-запросы через браузер жертвы так, как если бы они исходили из ее локальной сети.
По данным Malwarebytes, вредоносное ПО действует как HTTP-прокси: выполняет fetch-запросы с произвольным методом, заголовками, учетными данными и телом запроса, после чего возвращает атакующему полный ответ сервера, включая заголовки.
Наличие обработчика Periodic Background Sync (в браузерах на базе Chromium) позволяет веб-приложению регулярно синхронизировать данные в фоновом режиме, что обеспечивает злоумышленнику устойчивый доступ к зараженному устройству до тех пор, пока PWA остается установленным.
Пользователям, активирующим "полный набор защитных функций", предлагается APK-файл для Android, якобы расширяющий защиту на список контактов.
Fake security checks
Файл позиционируется как "критическое обновление безопасности", утверждается, что он проверен Google, и требует 33 разрешения, включая доступ к SMS, журналам вызовов, микрофону, контактам и службе специальных возможностей.
Такие разрешения позволяют осуществлять кражу данных, полный компромисс устройства и финансовое мошенничество.
В составе APK обнаружены:
Для повышения устойчивости приложение регистрируется как администратор устройства (что усложняет удаление), настраивает автозапуск при загрузке системы и планирует задачи для повторного запуска компонентов в случае их остановки.
Также выявлены элементы, потенциально пригодные для overlay-атак — это указывает на возможную подготовку к фишингу учетных данных в отдельных приложениях.
Даже без установки Android-приложения веб-версия способна:
Исследователи подчеркивают: Google не проводит проверки безопасности через всплывающие окна на сторонних сайтах и не требует установки программного обеспечения для активации расширенных защитных функций. Все инструменты безопасности доступны исключительно через официальный аккаунт Google по адресу myaccount.google.com.
Для удаления вредоносного APK специалисты Malwarebytes рекомендуют проверить список установленных приложений на наличие записи "Security Check" и удалить ее в приоритетном порядке.
Если обнаружено приложение "System Service" с пакетом com.device.sync и правами администратора устройства, необходимо сначала отозвать эти права (Settings > Security > Device admin apps), а затем удалить приложение.
Исследователи также предоставили подробные инструкции по удалению вредоносного PWA из браузеров на базе Chromium (включая Google Chrome и Microsoft Edge), а также из Safari.
Отмечается, что в Mozilla Firefox и Safari возможности вредоносного приложения существенно ограничены, однако push-уведомления продолжают функционировать.
Источник
Атака сочетает возможности Progressive Web App (PWA) и методы социальной инженерии. Пользователя убеждают, что он взаимодействует с легитимной страницей Google Security, и побуждают установить вредоносное приложение.
PWA-приложения работают в браузере, но могут устанавливаться с сайта как отдельные программы — они открываются в собственном окне без видимых элементов управления браузером, что усиливает иллюзию легитимности.
Браузер жертвы как инструмент атакующего
Кампания строится на получении от пользователя расширенных разрешений под предлогом "проверки безопасности" и "усиленной защиты устройства".Злоумышленники используют домен google-prism[.]com, маскирующийся под сервис безопасности Google. Посетителю демонстрируется четырехэтапный процесс настройки, включающий выдачу опасных разрешений и установку вредоносного PWA. В ряде случаев дополнительно предлагается установить "защитное" Android-приложение для охраны контактов.
По данным исследователей из компании Malwarebytes, веб-приложение способно:
- эксфильтрировать контакты,
- получать данные GPS в реальном времени,
- считывать содержимое буфера обмена.
Сайт также запрашивает доступ к тексту и изображениям, копируемым в буфер обмена (при условии, что приложение открыто).
Fake Google security site asking for clipboard access
Кроме того, поддельная страница запрашивает разрешение на показ уведомлений. Это позволяет злоумышленникам отправлять оповещения, новые "задачи" или инициировать эксфильтрацию данных.
Вредоносное приложение использует WebOTP API (в поддерживаемых браузерах) для перехвата SMS-кодов подтверждения и обращается к эндпоинту /api/heartbeat каждые 30 секунд для получения новых команд.
Поскольку PWA может похищать содержимое буфера обмена и OTP-коды только во время своей работы, push-уведомления используются для отправки ложных предупреждений о безопасности, вынуждая пользователя повторно открыть приложение.
Fake Google security site asks for notifications permissions
Исследователи отмечают, что основной акцент сделан на краже одноразовых паролей и адресов криптокошельков. Помимо этого, вредоносное ПО формирует детальный цифровой отпечаток устройства.
В состав PWA входит service worker, отвечающий за push-уведомления, выполнение задач из полученных полезных нагрузок и локальную подготовку похищенных данных к отправке.
Наиболее тревожным компонентом является WebSocket-реле, позволяющее передавать веб-запросы через браузер жертвы так, как если бы они исходили из ее локальной сети.
По данным Malwarebytes, вредоносное ПО действует как HTTP-прокси: выполняет fetch-запросы с произвольным методом, заголовками, учетными данными и телом запроса, после чего возвращает атакующему полный ответ сервера, включая заголовки.
Наличие обработчика Periodic Background Sync (в браузерах на базе Chromium) позволяет веб-приложению регулярно синхронизировать данные в фоновом режиме, что обеспечивает злоумышленнику устойчивый доступ к зараженному устройству до тех пор, пока PWA остается установленным.
Вредоносное Android-приложение
Пользователям, активирующим "полный набор защитных функций", предлагается APK-файл для Android, якобы расширяющий защиту на список контактов.
Fake security checks
Файл позиционируется как "критическое обновление безопасности", утверждается, что он проверен Google, и требует 33 разрешения, включая доступ к SMS, журналам вызовов, микрофону, контактам и службе специальных возможностей.
Такие разрешения позволяют осуществлять кражу данных, полный компромисс устройства и финансовое мошенничество.
В составе APK обнаружены:
- кастомная клавиатура для перехвата нажатий клавиш,
- слушатель уведомлений для доступа к входящим оповещениям,
- сервис перехвата автоматически подставляемых учетных данных.
Для повышения устойчивости приложение регистрируется как администратор устройства (что усложняет удаление), настраивает автозапуск при загрузке системы и планирует задачи для повторного запуска компонентов в случае их остановки.
Также выявлены элементы, потенциально пригодные для overlay-атак — это указывает на возможную подготовку к фишингу учетных данных в отдельных приложениях.
Атака без эксплуатации уязвимостей
Ключевая особенность кампании — отсутствие необходимости в эксплуатации технических уязвимостей. Используются легитимные возможности браузеров в сочетании с социальной инженерией. Пользователь сам предоставляет все необходимые разрешения для реализации вредоносной активности.Даже без установки Android-приложения веб-версия способна:
- собирать контакты,
- перехватывать одноразовые коды,
- отслеживать местоположение,
- сканировать внутреннюю сеть,
- проксировать трафик через устройство жертвы.
Исследователи подчеркивают: Google не проводит проверки безопасности через всплывающие окна на сторонних сайтах и не требует установки программного обеспечения для активации расширенных защитных функций. Все инструменты безопасности доступны исключительно через официальный аккаунт Google по адресу myaccount.google.com.
Для удаления вредоносного APK специалисты Malwarebytes рекомендуют проверить список установленных приложений на наличие записи "Security Check" и удалить ее в приоритетном порядке.
Если обнаружено приложение "System Service" с пакетом com.device.sync и правами администратора устройства, необходимо сначала отозвать эти права (Settings > Security > Device admin apps), а затем удалить приложение.
Исследователи также предоставили подробные инструкции по удалению вредоносного PWA из браузеров на базе Chromium (включая Google Chrome и Microsoft Edge), а также из Safari.
Отмечается, что в Mozilla Firefox и Safari возможности вредоносного приложения существенно ограничены, однако push-уведомления продолжают функционировать.
Источник
