Зловмисники розгорнули фішингову кампанію, яка імітує офіційну сторінку безпеки Google та змушує користувачів встановлювати шкідливий Progressive Web App (PWA). Застосунок здатний перехоплювати одноразові паролі, збирати адреси криптовалютних гаманців і перенаправляти трафік зловмисників через браузери жертв.

Як працює атака: соціальна інженерія та PWA

Атака побудована на поєднанні соціальної інженерії та легітимних можливостей браузерів. Зловмисники використовують домен google-prism[.]com, що імітує справжній захисний сервіс Google. Сайт пропонує чотириетапний процес “налаштування захисту”, під час якого користувач надає небезпечні дозволи та встановлює шкідливий PWA-застосунок.

PWA-застосунки запускаються у браузері, проте можуть бути встановлені з сайту як повноцінні програми — у власному вікні без видимих елементів браузера. Саме це робить їх зручним інструментом для введення користувачів в оману.

За даними дослідників компанії Malwarebytes, шкідливий PWA здатний викрадати список контактів, GPS-дані в реальному часі та вміст буфера обміну. Останнє стає можливим лише тоді, коли застосунок відкритий.

Браузер жертви стає проксі-сервером зловмисника

Серед найнебезпечніших компонентів шкідливого PWA — WebSocket-ретранслятор, що дозволяє зловмиснику передавати веб-запити через браузер жертви так, наче він перебуває у її мережі. Шкідливе ПЗ функціонує як HTTP-проксі: виконує запити з довільними методами, заголовками та тілом, а потім повертає повну відповідь сервера, включно із заголовками.

Додатково застосунок здатний сканувати внутрішні порти мережі, виявляючи активні хости. Завдяки обробнику Periodic Background Sync — механізму синхронізації даних у фоновому режимі для браузерів на основі Chromium — зловмисник зберігає доступ до скомпрометованого пристрою доти, доки шкідливий PWA не буде видалено.

Перехоплення паролів та маніпуляція через push-сповіщення

Шкідливий застосунок використовує WebOTP API для перехоплення SMS-кодів підтвердження у підтримуваних браузерах, а також кожні 30 секунд надсилає запит на адресу /api/heartbeat для отримання нових команд від сервера зловмисника.

Оскільки PWA може викрадати вміст буфера обміну та одноразові коди лише під час роботи, зловмисники використовують дозвіл на push-сповіщення для надсилання фальшивих попереджень безпеки, що спонукають жертву знову відкрити застосунок. Основними цілями є одноразові паролі (OTP) та адреси криптовалютних гаманців. Крім того, шкідливе ПЗ формує детальний цифровий відбиток пристрою.

Супутній Android-застосунок із 33 дозволами

Користувачам, які погоджуються активувати всі “функції безпеки”, пропонується також встановити APK-файл для Android під виглядом захисту списку контактів. Шкідливий пакет видає себе за “критичне оновлення безпеки”, нібито верифіковане Google, та запитує 33 дозволи — зокрема доступ до SMS-повідомлень, журналу дзвінків, мікрофону, контактів і служби доступності.

До складу шкідливого APK входять: спеціальна клавіатура для перехоплення натискань клавіш, слухач сповіщень для доступу до вхідних повідомлень та сервіс для перехоплення автоматично підставлених облікових даних. Для закріплення у системі APK реєструється як адміністратор пристрою (що ускладнює видалення), встановлює обробник завантаження системи та налаштовує планувальник для перезапуску компонентів у разі їх примусового завершення. Дослідники також виявили елементи, що вказують на підготовку до накладних атак для фішингу облікових даних в окремих застосунках.

Загроза діє навіть без Android-компонента

Дослідники Malwarebytes наголошують: навіть якщо Android APK не встановлено, веб-застосунок здатний збирати контакти, перехоплювати одноразові паролі, відстежувати геолокацію, сканувати внутрішні мережі та перенаправляти трафік через пристрій жертви.

Поєднуючи легітимні функції браузера із соціальною інженерією, зловмисники не потребують експлуатації жодних вразливостей — вони просто змушують жертву самостійно надати всі необхідні дозволи.

Щодо браузерів Firefox та Safari: в них більшість можливостей шкідливого застосунку суттєво обмежена, однак push-сповіщення продовжують працювати.

Як видалити шкідливе програмне забезпечення

Google не проводить перевірки безпеки через спливаючі вікна на вебсторінках і не вимагає встановлення програмного забезпечення для посиленого захисту. Усі інструменти безпеки доступні через обліковий запис Google за адресою myaccount.google.com.

Для видалення шкідливого APK Malwarebytes рекомендує знайти у переліку встановлених застосунків запис “Security Check” та видалити його. Якщо на пристрої присутній застосунок “System Service” з пакетом com.device.sync та правами адміністратора, необхідно спершу відкликати ці права в розділі Налаштування > Безпека > Адміністратори пристрою, після чого видалити застосунок.

Детальні інструкції з видалення шкідливого веб-застосунку для браузерів на основі Chromium (Google Chrome, Microsoft Edge) та Safari опублікували дослідники Malwarebytes.

Ця стаття Фейковий сайт Google встановлює PWA для крадіжки паролів і кодів 2FAкторної автентифікації раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Існує багато операційних систем, від Windows до macOS, від Linux до Android та iOS,  кросплатформені програми до яких розробники підтримують. Також є багато фреймворків та інструментів для розробки, як-от Qt або Google Flutter, створених для того, шоб це все було легше писати, тестувати та підтримувати, ​​але єдине спільне між цими всіма програмами  – те, що вони працюють через Інтернет. Отже, назріло питання про заснування платформи нового покоління веб-додатків під назвою Progressive Web Apps (PWA). І тепер двоє найбільших світових виробників програмного забезпечення Google та Microsoft працюють разом, щоб зробити PWA схожими за функціоналом на кращі зразки програм з Google Play Store. Про це пише Slashgear.

Більшість найпопулярніших додатків і сервісів в наші дні – є Інтернет-додатками, розробленими так, щоб вони могли охопити якомога більше платформ, часто навіть у мобільних веб-браузерах. Це не робить їх автоматично PWA, оскільки вони все ще повинні належним чином інтегруватися з основними особливостями ОС, на яких вони запускаються. Саме так написані платформи для розробки таких додатків – Microsoft PWABuilder та Bubblewrap від Google,  а їхні виробники зараз об’єднують сили для розробки PWA, які можуть працювати як на комп’ютерах, так і  на мобільних пристроях.

Google Bubblewrap – це в основному інструмент для створення пакетів Google Play Store із PWA, тоді як PWABuilder від Microsoft робить те саме для більшості магазинів додатків. PWABuilder тепер використовує інструменти з Bubblerwrap, каже Microsoft, і, у свою чергу, він надає деякі функції інтеграції PWA на Android.

Зокрема, PWA, зроблені спеціально для Google Play Store, зможуть підтримувати веб-ярлики, які дозволяють користувачам переходити безпосередньо до певних розділів або частин веб-програми. У Windows ці ярлики відображаються як перехідні списки при натисканні правою кнопкою миші на піктограму на панелі завдань. Цей самий список з’явиться на Android, коли ви утримуєте його та натискаєте на піктограму додатка. Крім того, PWA зможуть контролювати зовнішній вигляд рядка стану, як-от зміна кольору відповідно до теми програми, як і звичайні вбудовані програми Android.

Google і Microsoft з власних причин схиляються до спільних розробок PWA. Microsoft намагається компенсувати відсутність багатьох спеціалізованих програм у своєму магазині, дозволяючи існуючим веб-додаткам використовувати там PWA. Google, з іншого боку, отримує вигоду від PWA, маючи єдину історію програми, яка охоплює всі існуючі платформи та використовує ту платформу, яку вона найкраще знає: Інтернет.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Google та Microsoft об’єднали зусилля заради покращення Web-додатків та мобільних додатків раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим