En phishingkampagne misbruger Progressive Web App-teknologi til at stjæle kontooplysninger og multifaktorautentificeringskoder. Angrebet bruger en falsk Google-sikkerhedsside til at narre ofre til at installere en ondsindet webbaseret app.
Den falske Google-side ser troværdig ud og efterligner legitime arbejdsgange for kontobeskyttelse. Når offeret installerer appen, får angriberne adgang til adgangskoder, MFA-koder og andre følsomme data.
Sådan fungerer phishingkampagnen
Angrebet begynder med en forfalsket Google-sikkerhedsside, som ligger på et vildledende domæne. Offeret får besked om, at kontoen kræver bekræftelse eller beskyttelse. Siden opfordrer derefter brugeren til at installere en “Security Check”-app.
I stedet for at downloade en traditionel eksekverbar fil installerer offeret en Progressive Web App. En PWA kan køre i et selvstændigt vindue uden synlige browserkontroller. Det får appen til at ligne et almindeligt skrivebordsprogram.
Efter installationen anmoder den ondsindede app om omfattende tilladelser. Offeret kan give adgang til udklipsholder, kontakter eller lokationstjenester i den tro, at appen forbedrer sikkerheden.
Tyveri af loginoplysninger og MFA-koder
Når appen er aktiv, opsnapper den loginoplysninger, som indtastes i phishingformularer. Den opfanger også multifaktorautentificeringskoder, herunder engangskoder sendt via SMS.
Ved at indsamle både adgangskoder og MFA-koder i realtid kan angriberne omgå kontobeskyttelsen. MFA bliver dermed en midlertidig barriere frem for en fuldstændig beskyttelse.
Appen overvåger også aktivitet på udklipsholderen. Hvis brugeren kopierer følsomme oplysninger, såsom autentificeringstokens eller data fra en adgangskodeadministrator, kan angriberen få adgang til disse oplysninger.
Browserproxy og enhedsfingeraftryk
Den ondsindede PWA kan omdanne offerets browser til en HTTP-proxy. Angriberne kan dermed sende trafik gennem offerets IP-adresse. Det gør det sværere at spore den egentlige kilde til angrebet.
Appen indsamler også detaljerede enhedsoplysninger. Den opbygger et digitalt fingeraftryk, som omfatter browserkonfiguration, systeminformation og andre identificerende kendetegn. Angriberne kan bruge disse data i efterfølgende kampagner eller videresælge dem.
Vedvarende baggrundsaktivitet
Kampagnen anvender såkaldte service workers til at opretholde baggrundsprocesser. Selv hvis brugeren lukker det synlige appvindue, kan service worker-funktionen fortsætte med at modtage instruktioner fra angriberstyrede servere.
Denne vedvarende adgang muliggør fortsat dataindsamling og fjernudførelse af kommandoer. Offeret kan derfor være uvidende om, at appen stadig kører i baggrunden.
Android-komponent
I nogle tilfælde bliver offeret bedt om at installere en ledsagende Android-app, som udgiver sig for at være en sikkerhedsopdatering. Hvis den installeres, anmoder appen om omfattende tilladelser, herunder adgang til SMS-beskeder, kontakter og tilgængelighedsfunktioner.
Disse tilladelser giver angriberne mulighed for at opsnappe autentificeringskoder og indsamle yderligere personlige data direkte fra enheden.
Beskyttelse og forebyggelse
Brugere bør være skeptiske over for uventede sikkerhedsadvarsler. Legitimes Google-sikkerhedsværktøjer kræver ikke installation af selvstændige PWA-apps fra tredjepartsdomæner.
For at reducere risikoen bør man:
- Kontrollere den fulde webadresse, før man indtaster loginoplysninger
- Undgå at installere apps via uopfordrede beskeder
- Bruge passkeys eller hardwarebaserede sikkerhedsnøgler, hvor det er muligt
- Gennemgå installerede apps og fjerne unødvendige tilladelser
Organisationer bør uddanne medarbejdere om PWA-baserede phishingtrusler. Moderne webteknologier kan misbruges uden at udnytte traditionelle softwaresårbarheder.
Konklusion
Kampagnen med den falske Google-sikkerhedsside viser, hvordan angribere udnytter legitime webteknologier til at stjæle loginoplysninger. Ved at forklæde en ondsindet PWA som et sikkerhedsværktøj kan de indsamle adgangskoder, MFA-koder og enhedsdata, samtidig med at appen fortsætter med at køre i baggrunden. Hændelsen understreger behovet for streng styring af tilladelser og stærkere autentificeringsmetoder, der kan modstå realtidsopsnapning.
0 svar til “Falsk Google-sikkerhedsside bruger PWA-app til at stjæle loginoplysninger”