Phishing verkleidet als Google-Sicherheitsprüfung verwendet PWAs zu stehlen OTP-Codes und konvertieren Sie den Browser in Proxy

Die besorgniserregendste Sache ist, dass dieser Webservice ein WebSocket-Relais umfasst, mit dem Sie HTTP-Anfragen vom Browser des Opfers mit jeder Methode, Header und Anmeldeinformationen ausführen können, die der Angreifer angibt und vollständige Antworten zurückgibt. In der Praxis, die den kompromittierten Browser in eine kriminell kontrollierte HTTP-Proxy verwandelt, die so auf die internen Netzwerkressourcen des Opfers zugreifen und Ports scannen kann, interne Geräte und Dienste erkennen, als ob der Angreifer selbst im Netzwerk war.

Neben der PWA werden einige Benutzer angeboten, eine APK für Android zu installieren, die angeblich die "Schutz" auf Kontakte erweitert. Dieser Installer fordert eine Menge von High-Risiko-Berechtigungen - Zugriff auf SMS, Anrufaufzeichnungen, Mikrofon, Kontakte und Zugänglichkeit Service - und bringt gefährliche Komponenten: benutzerdefinierte Tastatur, um Impulse zu erfassen, Liste der Benachrichtigungen, Service, Selbstvervollständigte Anmelde- und Persistenzmechanismen abzufangen (Registrierung als Gerätemanager, Boot-Empfänger, Alarme, Komponenten neu zu starten). Mit anderen Worten, wenn die APK installiert ist, wächst die Möglichkeit einer Gesamtaufnahme des Gerätes deutlich.

Dieser Angriff nutzt keine Fehler im Browser oder im Betriebssystem; er nutzt die menschliche Psychologie aus. Durch die Kombination legitimer Web-Funktionen mit glaubwürdigem Aussehen und einer "Sicherheitsverbesserung"-Erzählung erhalten Angreifer den Benutzer freiwillig die erforderlichen Berechtigungen für Datendiebstahl und laterale Bewegung im Netzwerk. Deshalb sind die Empfehlungen des gemeinsamen Sinns so wichtig: Google sendet keine Sicherheitsüberprüfungen mit Pop-up-Fenstern, die die Installation von Software außerhalb seines Account-Panels bitten; alle offiziellen Tools werden vom Benutzerpanel in Mein Konto.google.com.

Wenn Sie denken, Sie könnten betroffen sein, gibt es konkrete und dringende Schritte, die ergriffen werden sollten. Überprüfen Sie im Browser die installierten Web-Anwendungen und die Ausnahmen von Benachrichtigungen und Clipboards; in Chromium (Chrome, Edge) erscheinen die PWAs in der Anwendungsliste und können von den Browser-Einstellungen deinstalliert werden. In macOS oder iOS, entfernen Sie jedes Icon oder direkten Zugriff Sie erinnern sich nicht zu erstellen. Auf Android, suchen Sie nach Apps mit verdächtigen Namen wie "Security Check" und überprüfen, ob es eine Anwendung namens "System Service" mit Paket com.device. sync; wenn Sie Administratorrechte haben, überprüfen Sie sie in Einstellungen > Sicherheit > Gerätemanagement-Anwendungen, bevor Sie es deinstallieren. Malharebytes bietet präzise Schritte zur Tilgung in seinem Bericht, der verfolgt werden sollte, wenn Sie etwas Ähnliches erkennen: Bericht Malharebytes.

Was die langfristige Minderung betrifft, ist es ratsam, SMS-Verifikation durch Software Authentatoren oder physische Tasten zu ersetzen, APKS aus Quellen außerhalb von Google Play zu installieren, nicht akzeptieren Berechtigungen, die Sie nicht verstehen (insbesondere Zugriff auf SMS, Benachrichtigungen, Zugänglichkeit oder Tastatur), halten Sie den Browser und System auf dem neuesten Stand und verwenden Sie erkannte Sicherheitslösungen, um das Gerät zu scannen. Es ist zu beachten, dass einige Browser den Umfang dieser Techniken begrenzen: in Firefox und Safari sind viele Angriffsfunktionen eingeschränkt, obwohl Push-Benachrichtigungen weiterhin funktionieren können; daher ist die Änderung des Browsers allein nicht genug, aber es reduziert das Risiko.

Schließlich, wenn Sie cryptomonedas fahren, handeln Sie schnell: überprüfen Sie verknüpfte Adressen, ziehen Sie Gelder in Portfolios, deren privater Schlüssel nicht in Gefahr war und ermöglichen zusätzliche Sicherheitsmaßnahmen. Wenn Ihr Google-Passwort oder andere Dienste möglicherweise beeinträchtigt worden sind, ändern Sie die Passwörter von einem anderen sicheren Gerät, überprüfen Sie die Login-Aktivität und erwägen Sie, Token und Sitzungen von dem Konto-Sicherheits-Panel auf Google Security Checkup.

Um die von den Angreifern verwendeten technischen Teile besser zu verstehen (Servicearbeiter, regelmäßige Hintergrundsynchronisation, WebOTP usw.), sind offizielle Anleitungen und Entwicklerdokumentation nützliche Ressourcen: Die Service Workers API wird in MDN beschrieben ( Service Worker API - MDN), die regelmäßige Synchronisation im Hintergrund MDN Periodische Hintergrundsync und die WebOTP API in MDN WebOTP API. Wissen, wie diese Teile arbeiten hilft zu identifizieren, wenn ihre Verwendung legitim ist und wenn sie nicht.

Kurz gesagt, die Kampagne, die eine Google-Sicherheitskontrolle imitiert, zeigt, dass die Kombination aus leistungsstarken Web-Technologien und einer überzeugenden Präsentation gefährlich sein kann, wenn mit Social Engineering kombiniert. Die beste Verteidigung bleibt die Vorsicht: nicht die Installation von Apps aus aufstrebenden Fenstern, die Überprüfung von Domänen und Quellen, die Verweigerung unnötiger Berechtigungen und die Verwendung robuster Authentifizierungsverfahren. Wenn Sie Zweifel an einer möglichen Infektion haben, fragen Sie nach Sicherheitssignatur-Entfernung Anleitungen wie Malharebytes und, falls erforderlich, um Hilfe von vertrauenswürdigen Fachleuten.

Empfohlen für weitere Informationen: Malharebytes' technischer Bericht über diesen Vorfall ( Malharebytes), die Abdeckung von spezialisierten Mitteln wie BlepingComputer und die Dokumentation der Entwickler in MDN Web Docs.