En phishingkampanj utnyttjar Progressive Web App-teknik för att stjäla kontouppgifter och multifaktorautentiseringskoder. Attacken använder en falsk Google-säkerhetssida för att lura offer att installera en skadlig webbaserad app.
Den falska Google-sidan ser övertygande ut och efterliknar legitima flöden för kontoskydd. När offret installerar appen får angriparna tillgång till lösenord, MFA-koder och annan känslig information.
Så fungerar phishingkampanjen
Attacken börjar med en förfalskad Google-säkerhetssida som ligger på en vilseledande domän. Offret får veta att kontot kräver verifiering eller skydd. Därefter uppmanar sidan användaren att installera en ”Security Check”-app.
I stället för att ladda ner en traditionell körbar fil installerar offret en Progressive Web App. En PWA kan köras i ett fristående fönster utan synliga webbläsarkontroller. Det gör att appen liknar ett inbyggt skrivbordsprogram.
Efter installationen begär den skadliga appen omfattande behörigheter. Offret kan ge tillgång till urklipp, kontakter eller platsinformation i tron att appen förbättrar säkerheten.
Stöld av inloggningsuppgifter och MFA-koder
När appen är aktiv fångar den upp inloggningsuppgifter som skrivs in i phishingformulär. Den avlyssnar även multifaktorautentiseringskoder, inklusive engångskoder som skickas via SMS.
Genom att samla in både lösenord och MFA-koder i realtid kan angriparna kringgå kontoskydd. MFA fungerar då endast som ett tillfälligt hinder, inte ett fullständigt skydd.
Appen övervakar även aktivitet i urklippet. Om användaren kopierar känslig information, exempelvis autentiseringstoken eller uppgifter från en lösenordshanterare, kan angriparen komma åt dessa data.
Webbläsarproxy och enhetsfingeravtryck
Den skadliga PWA:n kan omvandla offrets webbläsare till en HTTP-proxy. Angriparna kan då dirigera trafik via offrets IP-adress. Det försvårar spårning och döljer den verkliga källan bakom angreppet.
Appen samlar dessutom in detaljerad enhetsinformation. Den skapar ett digitalt fingeravtryck som omfattar webbläsarkonfiguration, systemuppgifter och andra identifierande faktorer. Angriparna kan använda informationen i framtida attacker eller sälja den vidare.
Ihållande bakgrundsaktivitet
Kampanjen använder så kallade service workers för att upprätthålla bakgrundsprocesser. Även om användaren stänger det synliga appfönstret kan service worker-funktionen fortsätta att ta emot instruktioner från angriparstyrda servrar.
Denna uthållighet möjliggör fortsatt datainsamling och fjärrstyrda kommandon. Offret kan därför vara omedvetet om att appen fortfarande är aktiv i bakgrunden.
Android-komplement
I vissa fall uppmanas offret att installera en kompletterande Android-app som utger sig för att vara en säkerhetsuppdatering. Om användaren installerar den begär appen omfattande behörigheter, inklusive åtkomst till SMS, kontakter och tillgänglighetsfunktioner.
Dessa behörigheter gör det möjligt för angripare att avlyssna autentiseringskoder och samla in ytterligare personlig information direkt från enheten.
Skydd och förebyggande åtgärder
Användare bör vara försiktiga med oväntade säkerhetsvarningar. Legitima Google-verktyg kräver inte installation av fristående PWA-appar från tredjepartsdomäner.
För att minska risken bör man:
- Kontrollera hela webbadressen innan inloggningsuppgifter anges
- Undvika att installera appar via oväntade uppmaningar
- Använda passkeys eller hårdvarubaserade säkerhetsnycklar när det är möjligt
- Granska installerade appar och återkalla onödiga behörigheter
Organisationer bör utbilda anställda om phishing via PWA-teknik. Moderna webbtekniker kan missbrukas utan att angripare utnyttjar traditionella programvarusårbarheter.
Slutsats
Kampanjen med den falska Google-säkerhetssidan visar hur angripare anpassar legitima webbtekniker för att stjäla inloggningsuppgifter. Genom att maskera en skadlig PWA som ett säkerhetsverktyg kan de samla in lösenord, MFA-koder och enhetsdata samtidigt som appen fortsätter att arbeta i bakgrunden. Händelsen understryker behovet av strikt behörighetskontroll och starkare autentiseringsmetoder som motstår avlyssning i realtid.
0 svar till ”Falsk Google-säkerhetssida använder PWA-app för att stjäla inloggningsuppgifter”