Die gefälschte Seite verlangt unter dem Vorwand einer Sicherheitsprüfung mehrere Berechtigungen. Dazu gehört der Zugriff auf kopierte Texte und Bilder in der Zwischenablage, der allerdings nur funktioniert, solange die App geöffnet ist. Zudem fordert die Seite die Erlaubnis, Benachrichtigungen anzuzeigen. Darüber können die Angreifer Warnmeldungen oder neue Aufgaben ausspielen und den Datenabfluss auslösen.

Weil die PWA Zwischenablage und OTP-Codes nur im geöffneten Zustand abgreifen kann, dienen gefälschte Sicherheitswarnungen als Köder, um das Opfer zum erneuten Öffnen der App zu bewegen. Auf unterstützten Browsern nutzt die Schadsoftware laut Malwarebytes die WebOTP-API, um per SMS versandte Bestätigungscodes abzufangen, und fragt alle 30 Sekunden den Endpunkt /api/heartbeat nach neuen Befehlen ab.

Ein Service Worker in der PWA ist für Push-Benachrichtigungen zuständig, führt Aufgaben aus empfangenen Payloads aus und bereitet gestohlene Daten lokal für den Abtransport vor. Als besorgniserregendste Komponente bezeichnen die Forscher ein WebSocket-Relay: Es erlaubt den Angreifern, Web-Anfragen über den Browser des Opfers zu leiten, als befänden sie sich in dessen Netzwerk. “Die Schadsoftware fungiert als HTTP-Proxy, führt Fetch-Anfragen mit beliebiger Methode, beliebigen Headern, Anmeldedaten und Inhalt aus, die der Angreifer vorgibt, und liefert die vollständige Antwort samt Headern zurück”, so Malwarebytes. Ein Handler für die Periodic Background Sync in Chromium-basierten Browsern hält die Verbindung aufrecht, solange die PWA installiert bleibt.

Wer alle angebotenen Sicherheitsfunktionen aktiviert, erhält zusätzlich eine APK-Datei für Android-Geräte, die den Schutz angeblich auf die Kontaktliste ausweitet. Das Paket wird als “kritisches Sicherheitsupdate” beschrieben, gibt sich als von Google verifiziert aus und verlangt 33 Berechtigungen, darunter Zugriff auf SMS, Anrufprotokolle, das Mikrofon, Kontakte sowie den Bedienungshilfen-Dienst.

Die APK enthält mehrere Komponenten, etwa eine eigene Tastatur zum Mitschneiden von Eingaben, einen Benachrichtigungs-Listener und einen Dienst, der automatisch ausgefüllte Anmeldedaten abfängt. Zur Verankerung registriert sich die App als Geräteadministrator, was die Deinstallation erschwert, richtet einen Boot-Receiver für den Start ein und plant Alarme, um beendete Komponenten neu zu starten. Malwarebytes beobachtete außerdem Bausteine für Overlay-Angriffe, die auf geplantes Credential-Phishing in bestimmten Apps hindeuten.

Die Forscher betonen, dass die Web-App auch ohne installierte Android-APK Kontakte sammeln, Einmalpasswörter abfangen, den Standort verfolgen, interne Netzwerke scannen und Datenverkehr über das Gerät leiten kann. Auf Firefox und Safari seien viele Fähigkeiten stark eingeschränkt, Push-Benachrichtigungen funktionierten jedoch weiterhin.

Google führt laut Malwarebytes keine Sicherheitsprüfungen über Pop-ups auf Webseiten durch und verlangt für zusätzliche Schutzfunktionen keine Softwareinstallation; alle Werkzeuge sind über das Google-Konto unter myaccount.google.com erreichbar. Zur Bereinigung sollen Nutzer in der App-Liste nach einem Eintrag “Security Check” suchen und ihn vorrangig entfernen. Ist eine App namens “System Service” mit dem Paketnamen com.device.sync mit Administratorrechten vorhanden, sollte diese unter Einstellungen > Sicherheit > Geräteadministratoren entzogen und anschließend deinstalliert werden. Für die Entfernung der Web-App liefert Malwarebytes zudem Schritte für Chromium-Browser unter Windows sowie für Safari.