Eine Phishing-Kampagne missbraucht Progressive-Web-App-Technologie, um Zugangsdaten und Multi-Faktor-Authentifizierungscodes zu stehlen. Der Angriff nutzt eine gefälschte Google-Sicherheitsseite, um Opfer dazu zu bringen, eine bösartige webbasierte App zu installieren.
Die gefälschte Google-Seite wirkt überzeugend und imitiert legitime Abläufe zum Kontoschutz. Sobald das Opfer die App installiert, erhalten Angreifer Zugriff auf Passwörter, MFA-Codes und weitere sensible Daten.
So funktioniert die Phishing-Kampagne
Der Angriff beginnt mit einer gefälschten Google-Sicherheitsseite auf einer täuschend echten Domain. Den Opfern wird mitgeteilt, dass ihr Konto verifiziert oder geschützt werden müsse. Anschließend fordert die Seite sie auf, eine „Security Check“-App zu installieren.
Anstatt eine herkömmliche ausführbare Datei herunterzuladen, installieren die Opfer eine Progressive Web App (PWA). Eine PWA kann in einem eigenständigen Fenster ohne sichtbare Browser-Steuerelemente laufen. Dadurch ähnelt sie einer nativen Desktop-Anwendung.
Nach der Installation fordert die bösartige App umfangreiche Berechtigungen an. Opfer gewähren möglicherweise Zugriff auf Zwischenablage, Kontakte oder Standortdienste, weil sie glauben, die App erhöhe die Kontosicherheit.
Diebstahl von Zugangsdaten und MFA-Codes
Sobald die App aktiv ist, erfasst sie Anmeldedaten, die in Phishing-Formulare eingegeben werden. Außerdem fängt sie Multi-Faktor-Authentifizierungscodes ab, einschließlich Einmalpasswörtern, die per SMS versendet werden.
Indem Angreifer sowohl Passwörter als auch MFA-Codes in Echtzeit sammeln, können sie Kontoschutzmechanismen umgehen. Die Mehrfaktor-Authentifizierung wird dadurch zu einer vorübergehenden Hürde statt zu einem umfassenden Schutz.
Die App überwacht zudem Aktivitäten in der Zwischenablage. Kopiert ein Nutzer sensible Informationen, etwa Authentifizierungstoken oder Daten aus einem Passwortmanager, können Angreifer diese ebenfalls abgreifen.
Browser-Proxy und Geräte-Fingerprinting
Die bösartige PWA kann den Browser des Opfers in einen HTTP-Proxy verwandeln. Angreifer leiten dann ihren Datenverkehr über die IP-Adresse des Opfers. Diese Methode verschleiert die wahre Herkunft der Aktivitäten und erschwert die Zuordnung.
Zusätzlich sammelt die App detaillierte Geräteinformationen. Sie erstellt einen digitalen Fingerabdruck, der Browserkonfiguration, Systemdetails und weitere Identifikationsmerkmale umfasst. Angreifer nutzen diese Daten für weitere Kampagnen oder verkaufen sie weiter.
Dauerhafte Hintergrundaktivität
Die Kampagne setzt Service Worker ein, um Hintergrundprozesse aufrechtzuerhalten. Selbst wenn der Nutzer das sichtbare App-Fenster schließt, kann der Service Worker weiterhin Anweisungen von angreifergesteuerten Servern empfangen.
Diese Persistenz ermöglicht fortlaufende Datensammlung und die Ausführung von Befehlen aus der Ferne. Opfer bemerken möglicherweise nicht, dass die App weiterhin im Hintergrund aktiv bleibt.
Android-Begleitmalware
In einigen Fällen werden Opfer aufgefordert, eine begleitende Android-App zu installieren, die als Sicherheitsupdate getarnt ist. Wird sie installiert, verlangt die App weitreichende Berechtigungen, darunter Zugriff auf SMS-Nachrichten, Kontakte und Bedienungshilfefunktionen.
Mit diesen Berechtigungen können Angreifer Authentifizierungscodes abfangen und zusätzliche persönliche Daten direkt vom Gerät sammeln.
Schutz und Prävention
Nutzer sollten unerwartete Sicherheitswarnungen kritisch hinterfragen. Legitime Google-Sicherheitsfunktionen verlangen keine Installation eigenständiger PWAs von Drittanbieter-Domains.
Um das Risiko zu verringern, sollten Nutzer:
- Die vollständige URL überprüfen, bevor sie Zugangsdaten eingeben
- Keine Apps aufgrund unaufgeforderter Hinweise installieren
- Wenn möglich Passkeys oder Hardware-Sicherheitsschlüssel verwenden
- Installierte Anwendungen überprüfen und unnötige Berechtigungen widerrufen
Unternehmen sollten Mitarbeiter über PWA-basierte Phishing-Bedrohungen aufklären. Moderne Webtechnologien lassen sich missbrauchen, ohne dass Angreifer klassische Software-Schwachstellen ausnutzen.
Fazit
Die Kampagne mit der gefälschten Google-Sicherheitsseite zeigt, wie Angreifer legitime Webtechnologien für den Diebstahl von Zugangsdaten einsetzen. Indem sie eine bösartige PWA als Sicherheitswerkzeug tarnen, erfassen sie Passwörter, MFA-Codes und Gerätedaten und bleiben dabei im Hintergrund aktiv. Der Vorfall unterstreicht die Bedeutung sorgfältiger Berechtigungsverwaltung und stärkerer Authentifizierungsmethoden, die Echtzeitabfangriffe erschweren.


0 Kommentare zu „Gefälschte Google-Sicherheitsseite nutzt PWA-App zum Diebstahl von Zugangsdaten“