Фишинговая кампания использует поддельную страницу безопасности учетной записи Google для доставки веб-приложения, способного красть одноразовые пароли, собирать адреса криптовалютных кошельков и проксировать трафик злоумышленника через браузеры жертв.
Атака использует функции прогрессивного веб-приложения (PWA) и социальную инженерию, чтобы обманом заставить пользователей поверить, что они взаимодействуют с легитимной веб-страницей безопасности Google, и непреднамеренно установить вредоносное ПО.
PWA работают в браузере и могут быть установлены с веб-сайта, как и обычное автономное приложение, которое отображается в собственном окне без каких-либо видимых элементов управления браузера.
Браузер жертвы становится прокси злоумышленника
Кампания полагается на социальную инженерию для получения необходимых разрешений от пользователя под видом проверки безопасности и усиленной защиты устройств.
Киберпреступники используют домен google-prism[.]com, который выдает себя за легитимный сервис Google, связанный с безопасностью, демонстрируя четырехэтапный процесс настройки, включающий предоставление рискованных разрешений и установку вредоносного PWA-приложения. В некоторых случаях сайт также продвигает сопутствующее приложение для Android для «защиты» контактов.
По данным исследователей из компании по кибербезопасности Malwarebytes, PWA-приложение может эксфильтровать контакты, данные GPS в реальном времени и содержимое буфера обмена.
Дополнительный замеченный функционал включает работу в качестве сетевого прокси и внутреннего сканера портов, что позволяет злоумышленнику перенаправлять запросы через браузер жертвы и определять активные хосты в сети.
Веб-сайт также запрашивает разрешения на доступ к тексту и изображениям, скопированным в буфер обмена, что может произойти только при открытом приложении.
Однако поддельный веб-сайт также запрашивает разрешение на отображение уведомлений, что позволяет злоумышленнику отправлять оповещения, новые задачи или инициировать эксфильтрацию данных.
Кроме того, вредоносное ПО использует WebOTP API в поддерживаемых браузерах, пытаясь перехватить SMS-коды верификации, и каждые 30 секунд проверяет /api/heartbeat на наличие новых команд.
Поскольку PWA-приложение может красть содержимое буфера обмена и OTP-коды только в открытом состоянии, уведомления могут использоваться для отправки ложных сообщений о безопасности, побуждающих пользователя снова открыть PWA.
Malwarebytes заявляет, что основное внимание уделяется краже одноразовых паролей (OTP) и адресов криптовалютных кошельков, а вредоносное ПО также «создает подробный отпечаток устройства».
Еще одним компонентом вредоносного PWA является сервис-воркер, отвечающий за push-уведомления, выполнение задач из полученных полезных нагрузок и локальную подготовку украденных данных для эксфильтрации.
Исследователи отмечают, что наиболее тревожным компонентом является WebSocket-релей, который позволяет злоумышленнику перенаправлять веб-запросы через браузер, как если бы они находились в сети жертвы.
«Вредоносное ПО действует как HTTP-прокси, выполняя fetch-запросы с любым методом, заголовками, учетными данными и телом, указанными злоумышленником, а затем возвращает полный ответ, включая заголовки» — Malwarebytes
Поскольку воркер включает обработчик для Periodic Background Sync, который позволяет веб-приложениям в браузерах на базе Chromium периодически синхронизировать данные в фоновом режиме, злоумышленник может подключаться к скомпрометированному устройству до тех пор, пока установлено вредоносное PWA-приложение.
Сопутствующее вредоносное ПО для Android
Пользователи, которые решают активировать все функции безопасности для своей учетной записи, также получают APK-файл для своих устройств Android, который обещает распространить защиту на список контактов.
Полезная нагрузка описывается как «критическое обновление безопасности», утверждается, что она проверена Google, и требует 33 разрешения, включая доступ к SMS-сообщениям, журналам вызовов, микрофону, контактам и службе специальных возможностей.
Одних только этих разрешений достаточно для кражи данных, полного компрометации устройства и финансового мошенничества.
Вредоносный APK-файл включает несколько компонентов, таких как настраиваемая клавиатура для захвата нажатий клавиш, слушатель уведомлений для доступа к входящим уведомлениям и служба для перехвата автоматически заполняемых учетных данных.
«Для повышения устойчивости APK регистрируется как администратор устройства (что может усложнить удаление), устанавливает приемник загрузки для выполнения при запуске и планирует будильники, предназначенные для перезапуска компонентов в случае их завершения», — сообщают исследователи.
Malwarebytes обнаружила компоненты, которые могут использоваться для атак на основе оверлеев, что указывает на планы по потенциальному фишингу учетных данных в определенных приложениях.
Сочетая легитимные функции браузера с социальной инженерией, злоумышленнику не нужно использовать какие-либо уязвимости. Вместо этого он обманом заставляет жертву предоставить все необходимые разрешения для осуществления вредоносной деятельности.
Исследователи предупреждают, что даже если APK для Android не установлен, веб-приложение может собирать контакты, перехватывать одноразовые пароли, отслеживать местоположение, сканировать внутренние сети и проксировать трафик через устройство жертвы.
Пользователи должны знать, что Google не проводит проверки безопасности через всплывающие окна на веб-страницах и не запрашивает установку какого-либо программного обеспечения для расширенных функций защиты. Все инструменты безопасности доступны через учетную запись Google по адресу myaccount.google.com.
Для удаления вредоносного APK-файла Malwarebytes рекомендует пользователям искать в списке установленных приложений запись «Проверка безопасности» и в первую очередь удалить ее.
Если присутствует приложение с именем «Системная служба» с именем пакета com.device.sync и оно имеет доступ администратора устройства, пользователям следует отозвать его в Настройки > Безопасность > Приложения администратора устройства, а затем удалить его.
Исследователи Malwarebytes также предоставляют подробные инструкции по удалению вредоносного веб-приложения как из браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge, так и из Safari.
Они отмечают, что в браузерах Firefox и Safari многие возможности вредоносного приложения сильно ограничены, но push-уведомления по-прежнему работают.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ionut Ilascu
