O mais preocupante, segundo os pesquisadores, é que este serviço web inclui um relevo por WebSocket que permite executar pedidos HTTP do navegador da vítima com qualquer método, cabeçalhos e credenciais que o atacante especifique, e devolver respostas completas. Na prática, isso torna o navegador comprometido em um proxy HTTP controlado pelo criminoso, que pode assim aceder a recursos internos da rede da vítima e digitalizar portos, detectando dispositivos e serviços internos como se o próprio atacante estivesse dentro da rede.
Além da PWA, alguns usuários recebem a oferta de instalar um APK para Android que supostamente estende a “proteção” aos contatos. Esse instalador pede uma grande quantidade de permissões de alto risco (acesso a SMS, registros de chamadas, microfone, contatos e serviço de acessibilidade) e traz componentes perigosos: teclado personalizado para capturar pulsações, lister de notificações, serviço para interceptar credenciais autocompletadas e mecanismos de persistência (registo como administrador de dispositivo, receptor de arranque, alarmes para reiniciar componentes). Em outras palavras, se o APK se instalar, a possibilidade de uma tomada total do dispositivo cresce de forma significativa.
Este ataque não explora falhas no navegador nem no sistema operacional; explora a psicologia humana. Ao combinar funções legítimas da web com uma aparência credível e uma narrativa de “melhora de segurança”, os atacantes conseguem que o usuário entregue voluntariamente as permissões necessárias para o roubo de dados e o movimento lateral na rede. Por isso, as recomendações de senso comum são tão importantes: O Google não envia verificações de segurança através de janelas emergentes que peçam instalar software fora do seu painel de conta; todas as ferramentas oficiais são geridas a partir do painel de usuário em myaccount.google.com.
Se você acha que poderia estar afetado, há passos concretos e urgentes que convém seguir. No navegador, verifique as aplicações Web instaladas e as excepções de notificações e a área de transferência; em Chromium (Chrome, Edge) as PWAs aparecem na lista de aplicações e podem ser desinstaladas a partir da configuração do navegador. No macOS ou iOS, você remove qualquer ícone ou acesso direto que você não se lembre de ter criado. No Android, procura apps com nomes suspeitos como "Security Check" e verifique se existe uma aplicação chamada "System Service" com pacote com.device.sync; se tiver privilégios de administrador do dispositivo, revócalos em Ajustes > Segurança > Aplicações de administração de dispositivo antes de desinstalar. O Malwarebytes oferece passos precisos para a erradicação no seu relatório, que convém seguir se detectar algo semelhante: relatório do Malwarebytes.
Em termos de mitigação a longo prazo, é recomendável substituir a verificação por SMS por autenticadores de software ou chaves físicas, evitar instalar APKs de fontes fora do Google Play, não aceitar permissões que não entendas (especialmente acessos a SMS, notificações, acessibilidade ou teclado), manter o navegador e o sistema atualizados e usar soluções de segurança reconhecidas para digitalizar o dispositivo. Cabe destacar que alguns navegadores limitam o alcance dessas técnicas: no Firefox e Safari muitas capacidades do ataque estão restritas, embora as notificações push possam continuar funcionando; por isso, mudar de navegador não é suficiente por si só, mas reduz o risco.
Finalmente, se você lidar com criptomoedas, age rapidamente: veja endereços relacionados, considere mover fundos para carteiras cuja chave privada não tenha estado em risco e habilita medidas de segurança adicionais. Se a sua senha do Google ou de outros serviços tiver sido comprometida, mude as senhas de outro dispositivo seguro, verifique a atividade de login e considere revogar tokens e sessões do painel de segurança da conta no painel de segurança. Google Security Checkup.
Para entender melhor as peças técnicas usadas pelos atacantes (service workers, sincronização periódica em segundo plano, WebOTP, etc.), os guias oficiais e a documentação de desenvolvedores são recursos úteis: a API do Service Workers é descrita em MDN ( Service Worker API — MDN), a sincronização periódica em segundo plano MDN Periodic Background Sync e API WebOTP MDN WebOTP API. Conhecer como estas peças funcionam ajuda a identificar quando seu uso é legítimo e quando não.
Em suma, a campanha que imita um controle de segurança do Google demonstra que a conjunção de tecnologias da web poderosas e uma apresentação convincente pode ser perigosa quando combinada com engenharia social. A melhor defesa continua a ser a precaução: não instalar aplicativos de janelas emergentes, verificar domínios e fontes, negar permissões desnecessárias e usar métodos de autenticação robustos. Se você tiver dúvidas sobre uma possível infecção, consulte guias de eliminação de assinaturas de segurança como a de Malwarebytes e, se necessário, pede ajuda a profissionais de confiança.
Leituras recomendadas para aprofundar: o relatório técnico do Malwarebytes sobre este incidente ( Malwarebytes), a cobertura de meios especializados como BleepingComputer e documentação de desenvolvedores em MDN Web Docs.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...