Cybersicherheitsforscher von Malwarebytes decken Domainnamen-basierte Phishing-Kampagne auf google-prism(.)com. Angreifer imitieren eine Google-Sicherheitsseite, um Opfer zur Installation einer bösartigen Progressive Web App (PWA) zu verleiten..

Wie funktioniert dieser Browser-Angriff?

Die PWA wird ohne die Adressleiste des Browsers angezeigt und vermittelt den Eindruck einer nativen Google-Anwendung. Der Benutzer wird dann durch gefälschte Schutzschritte geführt, um Zugriff auf Benachrichtigungen, Kontakte über die Contact Picker API und Echtzeitstandort zu ermöglichen.

Sobald Berechtigungen erteilt wurden, werden zwei Skripte aktiviert. Erst beim Öffnen der Anwendung überwacht das erste Skript die Zwischenablage auf Passwörter und Kryptowährungsadressen.

Das zweite Skript ist ein Servicemitarbeiter viel ausdauernder. Es übersteht das Schließen eines Tabs und verarbeitet Push-Benachrichtigungen, sodass Angreifer die Malware aus der Ferne aktivieren können.

Was sind die gefährlichsten Fähigkeiten?

Das WebSocket-Relay verwandelt den Browser des Opfers in einen Proxy. Angreifer können so ihre Webanfragen über das kompromittierte Gerät weiterleiten und so „ Umgehen Sie IP-basierte Zugriffskontrollen oder erreichen Sie Ressourcen in einem Unternehmensnetzwerk „. Ein Port-Scanner ist ebenfalls integriert, um das lokale Netzwerk des Opfers zu untersuchen.

Für Android-Nutzer, die alle Schritte befolgen, wird eine zweite Nutzlast angeboten: eine APK-Datei getarnt als kritisches Sicherheitsupdate. Dieses native Implantat namens System Service fordert 33 Berechtigungen an. Es umfasst eine benutzerdefinierte Tastatur zum Protokollieren von Tastenanschlägen und Persistenzmechanismen durch Registrierung als Geräteadministrator.

Wie schützt man sich und reagiert im Falle einer Infektion?

Google führt niemals Sicherheitsüberprüfungen durch unerwünschte Pop-ups durch. Jede Warnung, die zur Installation einer App auffordert, sollte als verdächtig angesehen werden. Legitime Sicherheitstools sind nur über die offizielle Website zugänglich meinkonto.google.com.

Handeln Sie im Zweifelsfall schnell. Auf Android empfiehlt Malwarebytes, alle PWAs mit dem Namen „Security Check“ zu deinstallieren und nach der Systemdienst-App zu suchen, um sie zu entfernen, wobei zunächst die Administratorrechte entzogen werden.

Bei Computerbrowsern wie Chrome müssen Sie die PWA über entfernen chrome://apps und die Registrierung des böswilligen Dienstmitarbeiters von der Seite aufheben chrome://serviceworker-internals.