La chose la plus inquiétante, selon les chercheurs, est que ce service web inclut un relais WebSocket qui vous permet d'exécuter des requêtes HTTP depuis le navigateur de la victime avec n'importe quelle méthode, en-têtes et identifiants que l'attaquant spécifie, et de retourner des réponses complètes. Dans la pratique, qui transforme le navigateur compromis en mandataire HTTP contrôlé par un criminel, qui peut ainsi accéder aux ressources réseau internes de la victime et scanner des ports, en détectant des appareils et services internes comme si l'agresseur lui-même était à l'intérieur du réseau.
En plus de la PWA, certains utilisateurs sont proposés d'installer un APK pour Android qui aurait étendu la "protection" aux contacts. Cet installateur demande beaucoup d'autorisations à haut risque - accès aux SMS, enregistrements d'appels, microphone, contacts et service d'accessibilité - et apporte des composants dangereux : clavier personnalisé pour capturer les impulsions, liste des notifications, service pour intercepter les identifiants auto-complétés et mécanismes de persistance (enregistrement comme gestionnaire de périphériques, récepteur de démarrage, alarmes pour redémarrer les composants). En d'autres termes, si l'APK est installé, la possibilité d'une prise totale de l'appareil augmente significativement.
Cette attaque n'exploite pas les échecs dans le navigateur ou le système d'exploitation ; elle exploite la psychologie humaine. En combinant des fonctions Web légitimes avec une apparence crédible et une narration « d'amélioration de la sécurité », les attaquants font en sorte que l'utilisateur délivre volontairement les autorisations nécessaires pour le vol de données et le mouvement latéral sur le réseau. C'est pourquoi les recommandations du bon sens sont si importantes : Google n'envoie pas de contrôles de sécurité en utilisant des fenêtres pop-up qui demandent à installer un logiciel en dehors de son panneau de compte; tous les outils officiels sont gérés à partir du panneau utilisateur moncompte.google.com.
Si vous pensez que vous pourriez être affecté, il y a des mesures concrètes et urgentes qui devraient être prises. Dans le navigateur, vérifiez les applications Web installées et les exceptions des notifications et des presse-papiers; dans Chrome (Chrome, Edge), les PWA apparaissent dans la liste des applications et peuvent être désinstallés des paramètres du navigateur. Dans macOS ou iOS, supprimer toute icône ou accès direct que vous ne vous souvenez pas de créer. Sur Android, recherchez des applications avec des noms suspects comme "Vérification de sécurité" et vérifiez s'il y a une application appelée "Service système" avec paquet com.device. synchronisation; si vous avez des privilèges d'administrateur de périphérique, examinez-les dans Paramètres > Sécurité > Applications de gestion de périphériques avant de le désinstaller. Malharebytes propose des étapes précises pour l'éradication dans son rapport, qui devrait être suivi si vous détectez quelque chose de similaire: Rapport de Malhareoctets.
Quant à l'atténuation à long terme, il est conseillé de remplacer la vérification SMS par des authentificateurs logiciels ou des clés physiques, éviter d'installer APKS à partir de sources extérieures à Google Play, ne pas accepter les permissions que vous ne comprenez pas (surtout l'accès aux SMS, notifications, accessibilité ou clavier), garder le navigateur et le système à jour et utiliser des solutions de sécurité reconnues pour scanner l'appareil. Il convient de noter que certains navigateurs limitent la portée de ces techniques: dans Firefox et Safari, de nombreuses capacités d'attaque sont limitées, bien que les notifications push puissent continuer à fonctionner; par conséquent, changer le navigateur seul ne suffit pas, mais il réduit le risque.
Enfin, si vous conduisez des cryptomonesdas, agissez rapidement : examinez les adresses liées, envisagez de transférer des fonds vers des portefeuilles dont la clé privée n'a pas été à risque et permettent des mesures de sécurité supplémentaires. Si votre mot de passe Google ou d'autres services ont été compromis, changez les mots de passe d'un autre appareil sécurisé, vérifiez l'activité de connexion et envisagez de révoquer les jetons et les sessions du panneau de sécurité du compte sur Vérification de sécurité Google.
Pour mieux comprendre les pièces techniques utilisées par les attaquants (travailleurs de service, synchronisation régulière de l'arrière-plan, WebOTP, etc.), les guides officiels et la documentation des développeurs sont des ressources utiles: l'API des travailleurs de service est décrite dans le MDN ( API du travailleur de service - MDN), la synchronisation régulière en arrière-plan Synchronisation périodique du contexte MDN et l'API WebOTP dans API WebOTP MDN. Savoir comment ces pièces fonctionnent aide à identifier quand leur utilisation est légitime et quand ils ne le sont pas.
Bref, la campagne qui imite un contrôle de sécurité Google montre que la combinaison de technologies Web puissantes et d'une présentation convaincante peut être dangereuse lorsqu'elle est combinée à l'ingénierie sociale. La meilleure défense reste la précaution : ne pas installer des applications de fenêtres émergentes, vérifier les domaines et les sources, refuser les autorisations inutiles et utiliser des méthodes d'authentification robustes. Si vous avez des doutes sur une infection possible, demandez des guides de suppression de signature de sécurité tels que Malharebytes et, si nécessaire, demandez l'aide de professionnels de confiance.
Recommandé pour lire davantage: Malharebytes rapport technique sur cet incident ( Malhareoctets), la couverture des moyens spécialisés tels que Calculateur et la documentation des développeurs dans MDN Web Docs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...