Eine Phishing-Kampagne mit einer gefälschten Google-Sicherheitsseite verbreitet eine Progressive Web App, die Einmalpasswörter stiehlt, Kryptowallet-Adressen sammelt und Angreifer-Traffic durch Browser von Opfern leitet.
Cyberkriminelle betreiben eine raffinierte Phishing-Kampagne, die eine täuschend echte Google-Sicherheitsseite nachahmt. Über die Domain google-prism[.]com werden Nutzer dazu verleitet, eine Progressive Web App (PWA) zu installieren – eine webbasierte Anwendung, die sich wie eine reguläre Software verhält und ohne sichtbare Browserbedienelemente lädt.
Die Attacke nutzt soziale Manipulationstechniken geschickt aus: Unter dem Vorwand von Sicherheitschecks und verstärktem Geräteschutz werden Nutzer dazu gebracht, kritische Berechtigungen zu gewähren. Sicherheitsforscher von Malwarebytes haben analysiert, dass die PWA-App umfangreiche Daten abgreifen kann – darunter Kontakte, GPS-Standortdaten, Zwischenablage-Inhalte und vor allem Einmalpasswörter (OTP) durch die WebOTP-API.
Besonders besorgniserregend: Das Malware-Netzwerk funktioniert als HTTP-Proxy und interner Port-Scanner. Dies ermöglicht es Angreifern, Web-Anfragen durch den Browser des Opfers zu leiten und deren Netzwerk zu kartografieren – als würden die Anfragen aus dem internen Netzwerk des Opfers stammen. Ein Service-Worker kümmert sich um Push-Benachrichtigungen und Datenexfiltration, während eine WebSocket-Relay-Komponente die Kommunikation mit dem kompromittierten Gerät aufrechterhält.
Das Kampagnen-Setup geht noch weiter: Nutzer werden auch aufgefordert, eine Android-APK zu installieren, die als “kritisches Sicherheitsupdate” von Google präsentiert wird. Diese APK fordert 33 kritische Berechtigungen an – Zugriff auf SMS, Anrufprotokolle, Mikrofon, Kontakte und Bedienungshilfen. Der bösartige Android-Code enthält einen Custom-Keyboard zur Tastaturerfassung, einen Notification-Listener und einen Service zum Abfangen von autofill-Anmeldedaten. Zudem registriert sich die App als Geräteadministrator und plant automatische Neustarts.
Malwarebytes warnt: Selbst ohne die Android-App kann die Web-Anwendung bereits Kontakte sammeln, Einmalpasswörter abfangen, Standorte tracken und Netzwerk-Scans durchführen. Angreifer benötigen hier keine Sicherheitslücken auszunutzen – reine Social Engineering reicht aus.
Google-Nutzer sollten wissen, dass der Tech-Konzern niemals Sicherheitschecks per Pop-up durchführt oder Software-Installation für Schutzfeatures anfordert. Alle echten Sicherheitstools sind unter myaccount.google.com verfügbar. Bei Verdacht sollten Nutzer im App-Menü nach einem “Security Check”-Eintrag suchen und diesen sowie Apps namens “System Service” (com.device.sync) mit Geräteadministrator-Rechten entfernen.
Quelle: BleepingComputer