Uma campanha de phishing utiliza uma página falsa de segurança do Google Account para distribuir uma aplicação web (Progressive Web App, PWA) capaz de capturar códigos de autenticação única (one-time passcodes), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do invasor por meio dos navegadores das vítimas.
A técnica combina recursos das PWAs com engenharia social para enganar os usuários, fazendo-os acreditar que estão interagindo com uma página legítima do Google, enquanto instalam inadvertidamente o malware.
PWAs são aplicações que rodam diretamente no navegador e podem ser instaladas a partir de um site, funcionando como apps independentes exibidos em janelas sem os controles tradicionais do browser.
A campanha utiliza engenharia social para convencer as vítimas a conceder permissões sob o pretexto de uma verificação de segurança, supostamente destinada a aumentar a proteção dos dispositivos.
Os cibercriminosos empregam o domínio google-prism[.]com, que simula um serviço oficial do Google relacionado à segurança, apresentando um processo de configuração em quatro etapas, que inclui concessão de permissões sensíveis e instalação da PWA maliciosa.
Em alguns casos, o site oferece ainda um app complementar para Android, que promete "proteger" os contatos.
Pesquisadores da empresa de cibersegurança Malwarebytes identificaram que o app PWA pode extrair contatos, dados de GPS em tempo real e conteúdos copiados para a área de transferência (clipboard).
Outras funcionalidades observadas incluem atuação como proxy de rede e scanner de portas internas, permitindo que o invasor encaminhe solicitações pela conexão do navegador da vítima e identifique dispositivos ativos na rede local.
O site solicita permissões para acessar textos e imagens copiados, cujo acesso ocorre apenas enquanto a aplicação está aberta.
Além disso, a página falsa pede autorização para exibir notificações, possibilitando o envio de alertas fraudulentos, tarefas falsas ou até o disparo da exfiltração de dados.
O malware também utiliza a WebOTP API, presente em navegadores compatíveis, para interceptar códigos de verificação via SMS, e verifica o endpoint /api/heartbeat a cada 30 segundos para receber novos comandos dos atacantes.
Como a PWA captura dados do clipboard e códigos OTP somente quando está ativa, as notificações falsas são usadas para induzir o usuário a abrir o aplicativo novamente.
Segundo a Malwarebytes, o foco principal da campanha é roubar senhas temporárias (OTPs) e endereços de carteiras de criptomoedas, além de construir uma impressão digital detalhada do dispositivo.
Outro componente malicioso presente na PWA é um service worker, responsável por gerenciar as notificações push, executar tarefas enviadas e preparar localmente os dados coletados para envio.
Os pesquisadores destacam como especialmente preocupante o relé WebSocket, que permite ao atacante direcionar requisições web pelo navegador da vítima, simulando que o tráfego está na rede local do usuário.
O service worker também implementa o Periodic Background Sync, recurso do Chromium que permite sincronização periódica em segundo plano, possibilitando a conexão contínua do invasor ao dispositivo comprometido enquanto a PWA maliciosa permanecer instalada.
Usuários que ativam todos os recursos de segurança da conta recebem um arquivo APK para Android que promete ampliar a proteção dos contatos.
Esse payload é apresentado como uma "atualização crítica de segurança", supostamente verificada pelo Google, e exige 33 permissões, incluindo acesso a SMS, registros de chamadas, microfone, contatos e serviço de acessibilidade.
Essas permissões são de alto risco, pois permitem roubo de dados, comprometimento completo do dispositivo e fraudes financeiras.
O APK malicioso contém múltiplos componentes, como um teclado customizado para capturar teclas digitadas, um listener para notificações recebidas e um serviço para interceptar credenciais preenchidas automaticamente.
Para garantir persistência, o aplicativo se registra como administrador do dispositivo (tornando a remoção mais difícil), ativa um receptor para execução na inicialização e agenda alarmes que reiniciam componentes caso sejam encerrados.
A Malwarebytes também identificou módulos usados em ataques do tipo overlay, indicando intenção de phishing para roubo de credenciais em aplicativos específicos.
Ao combinar funcionalidades legítimas dos navegadores com engenharia social, os atacantes dispensam a exploração de vulnerabilidades, apostando em enganar o usuário para conceder as permissões necessárias às atividades maliciosas.
Os especialistas alertam que, mesmo sem a instalação do APK malicioso, o app web pode coletar contatos, interceptar OTPs, rastrear localização, analisar redes internas e atuar como proxy de tráfego no dispositivo da vítima.
É importante lembrar que o Google jamais realiza verificações de segurança via pop-ups em sites nem solicita a instalação de softwares adicionais para recursos de proteção.
Todas as ferramentas oficiais estão disponíveis diretamente na conta Google, no endereço myaccount.google.com.
Para remover o APK malicioso, a Malwarebytes orienta verificar a lista de apps instalados por uma entrada chamada “Security Check” e priorizar sua desinstalação.
Se houver um app denominado “System Service”, com o nome de pacote com.device.sync e que detenha acesso de administrador do dispositivo, o usuário deve revogar essa permissão em Configurações > Segurança > Apps de administrador do dispositivo antes de remover o programa.
A Malwarebytes também fornece instruções detalhadas para eliminar o app web malicioso em navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, bem como no Safari.
Vale destacar que, embora as capacidades do app malicioso sejam bastante limitadas no Firefox e Safari, as notificações push continuam funcionando nesses navegadores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...