Фейковая «проверка Google» превращает браузер в хакерский прокси
26 просмотров
Исследователи Malwarebytes обнаружили фишинговую кампанию, в ходе которой злоумышленники маскируются под Google и просят пользователей пройти «проверку безопасности» учетной записи. На самом деле все заканчивается установкой вредоносного веб-приложения, способного перехватывать одноразовые коды, красть адреса криптокошельков и даже использовать браузер жертвы в качестве прокси для атак.
Сценарий выглядит убедительно. Пользователь попадает на веб-сайт с доменом google-prism[.]com, который спроектирован как служба безопасности Google.
Его просят пройти несколько шагов «для усиленной защиты»: предоставить разрешения, включить уведомления и установить прогрессивное веб-приложение (PWA). В некоторых случаях дополнительно предлагается скачать APK-файл для Android, якобы для защиты контактов.
Особенность PWA в том, что такое приложение устанавливается прямо из браузера и выглядит почти как обычная программа – открывается в отдельном окне без привычной адресной строки. Этим и пользуются злоумышленники.
После установки вредоносное веб-приложение получает доступ к буферу обмена, геолокации, контактам и уведомлениям. Он также использует API WebOTP, чтобы попытаться перехватить коды подтверждения из SMS-сообщений. При этом каждые 30 секунд приложение проверяет сервер злоумышленников на наличие новых команд.
Отдельно исследователи отмечают функцию ретрансляции WebSocket: по сути, браузер жертвы превращается в HTTP-прокси. Злоумышленник может отправлять через него веб-запросы, как если бы они находились внутри сети пользователя, и получать полные ответы с заголовками. Это позволяет сканировать внутреннюю сеть и взаимодействовать с ресурсами от имени жертвы.
Даже если Android-приложение не установлено, веб-версия уже способна перехватывать данные из буфера обмена (в том числе адреса криптокошельков), одноразовые пароли и собирать цифровой отпечаток устройства.
Если пользователь загружает APK, риски возрастают. Приложение запрашивает 33 разрешения: доступ к СМС, звонкам, микрофону, контактам и специальным возможностям ОС. Внутри были обнаружены компоненты для перехвата нажатий клавиш, чтения уведомлений и извлечения учетных данных. Чтобы закрепиться в системе, вредоносная программа регистрируется в качестве администратора устройства и запускается при старте системы.
Malwarebytes подчеркивает, что никакие настоящие проверки безопасности Google не проводятся через всплывающие веб-страницы и не требуют установки стороннего программного обеспечения. Все инструменты защиты доступны только через официальный аккаунт Google.
