En phishingkampanje misbruker Progressive Web App-teknologi for å stjele kontolegitimasjon og flerfaktorautentiseringskoder. Angrepet bruker en falsk Google-sikkerhetsside for å lure ofre til å installere en ondsinnet nettbasert app.

Den falske Google-siden fremstår troverdig og etterligner legitime prosesser for kontosikring. Når offeret installerer appen, får angriperne tilgang til passord, MFA-koder og annen sensitiv informasjon.

Slik fungerer phishingkampanjen

Angrepet starter med en forfalsket Google-sikkerhetsside som ligger på et villedende domene. Offeret får beskjed om at kontoen krever verifisering eller beskyttelse. Deretter ber siden brukeren om å installere en «Security Check»-app.

I stedet for å laste ned en tradisjonell kjørbar fil installerer offeret en Progressive Web App. En PWA kan kjøre i et eget vindu uten synlige nettleserkontroller. Det gjør at appen ligner et vanlig skrivebordsprogram.

Etter installasjonen ber den ondsinnede appen om omfattende tillatelser. Offeret kan gi tilgang til utklippstavle, kontakter eller posisjonstjenester i troen på at appen forbedrer sikkerheten.

Tyveri av legitimasjon og MFA-koder

Når appen er aktiv, fanger den opp påloggingsinformasjon som tastes inn i phishing-skjemaer. Den avskjærer også flerfaktorautentiseringskoder, inkludert engangskoder sendt via SMS.

Ved å samle inn både passord og MFA-koder i sanntid kan angriperne omgå kontobeskyttelsen. MFA blir dermed en midlertidig barriere i stedet for et fullverdig vern.

Appen overvåker også aktivitet på utklippstavlen. Hvis brukeren kopierer sensitiv informasjon, som autentiseringstokener eller data fra en passordbehandler, kan angriperen hente disse opplysningene.

Nettleserproxy og enhetsfingeravtrykk

Den ondsinnede PWA-en kan gjøre offerets nettleser om til en HTTP-proxy. Angriperne kan da sende trafikk gjennom offerets IP-adresse. Dette skjuler den reelle kilden til aktiviteten og gjør sporing vanskeligere.

Appen samler også inn detaljert informasjon om enheten. Den oppretter et digitalt fingeravtrykk som inkluderer nettleserkonfigurasjon, systemdetaljer og andre identifiserende kjennetegn. Angriperne kan bruke disse dataene i senere kampanjer eller selge dem videre.

Vedvarende bakgrunnsaktivitet

Kampanjen bruker såkalte service workers for å opprettholde bakgrunnsprosesser. Selv om brukeren lukker det synlige appvinduet, kan service worker-funksjonen fortsette å motta instruksjoner fra angriperkontrollerte servere.

Denne vedvarende tilgangen muliggjør fortsatt datainnsamling og fjernutførelse av kommandoer. Offeret kan derfor være uvitende om at appen fortsatt opererer i bakgrunnen.

Android-tilleggsapp

I enkelte tilfeller blir offeret bedt om å installere en tilhørende Android-app som utgir seg for å være en sikkerhetsoppdatering. Dersom den installeres, ber appen om omfattende tillatelser, inkludert tilgang til SMS-meldinger, kontakter og tilgjengelighetsfunksjoner.

Disse tillatelsene gjør det mulig for angriperne å avskjære autentiseringskoder og samle inn ytterligere personlig informasjon direkte fra enheten.

Beskyttelse og forebygging

Brukere bør være skeptiske til uventede sikkerhetsvarsler. Legitima Google-sikkerhetsverktøy krever ikke installasjon av frittstående PWA-er fra tredjepartsdomener.

For å redusere risikoen bør man:

  • Kontrollere hele nettadressen før man oppgir legitimasjon
  • Unngå å installere apper via uoppfordrede meldinger
  • Bruke passkeys eller fysiske sikkerhetsnøkler der det er mulig
  • Gjennomgå installerte apper og fjerne unødvendige tillatelser

Organisasjoner bør informere ansatte om PWA-basert phishing. Moderne nettteknologi kan misbrukes uten at angripere utnytter tradisjonelle programvaresårbarheter.

Konklusjon

Kampanjen med den falske Google-sikkerhetssiden viser hvordan angripere tilpasser legitime webteknologier til legitimasjonstyveri. Ved å kamuflere en ondsinnet PWA som et sikkerhetsverktøy kan de samle inn passord, MFA-koder og enhetsdata samtidig som appen fortsetter å operere i bakgrunnen. Hendelsen understreker behovet for streng kontroll av tillatelser og sterkere autentiseringsmetoder som motstår sanntidsavlytting.


0 responses to “Falsk Google-sikkerhetsside bruker PWA-app til å stjele påloggingsinformasjon”